Le conflit entre Israël et le Hamas a suscité, depuis son démarrage le 7 octobre dernier, un vif intérêt parmi de nombreux acteurs du cyberespace. Les équipes de recherche de l’éditeur israélien Check Point nous livre une rétrospective des principaux événements survenus jusqu’ici.
De manière similaire au conflit russo-ukrainien, de nombreuses personnes et groupes cherchent à utiliser l’espace numérique comme un champ d’opérations supplémentaire. Leur objectif n’est pas seulement de causer des dommages, mais aussi de mener des campagnes d’information visant à influencer des événements à l’échelle mondiale.
Parmi, les faits marquants, les équipes de Check Point Research ont noté :
- Augmentation notable de l’activité cybernétique, avec plusieurs groupes d’hacktivistes motivés par divers intérêts géopolitiques intensifiant leurs opérations dans le but d’influencer les discours en ligne et de perturber les entités liées à Israël.
- Le nombre d’attaques cybernétiques dirigées contre Israël a augmenté de 18 % depuis le début du conflit essentiellement à l’encontre du secteur public et militaire, avec une augmentation de 52 % par rapport aux semaines précédant le 7 octobre.
- Les cybermenaces prennent diverses formes, allant des attaques par déni de service distribué (DDoS) perpétrées par des groupes d’hacktivistes à des activités de piratage et de divulgation d’informations visant les sites web israéliens.
- L’article met en lumière trois tendances susceptibles d’aggraver le conflit cybernétique. Tout d’abord, les groupes d’hacktivistes affiliés à la Russie qui concentrent leurs efforts sur Israël. Ensuite, la présence de groupes d’hacktivistes soutenus par le gouvernement iranien. Enfin, il faut prendre en compte l’implication de cybercriminels cherchant à tirer profit du conflit. De plus, l’entrée en scène de cyberacteurs expérimentés dotés de compétences avancées aggrave les risques et les tensions sur le champ de bataille en ligne.
Les attaques DDoS
Depuis le début de la guerre, des centaines de signalements d’attaques DDoS émanant d’entités gouvernementales et de grandes entreprises, telles que la Banque d’Israël, la société de téléphonie mobile Cellcom, le Parlement israélien (connu sous le nom de Knesset) ont été relevés. Ces attaques ont été menées par des dizaines de groupes d’hacktivistes qui comptent parmi eux des groupes pro-islamiques tels que Ghosts of Palestine, Team_insane_Pakistan, etc. Les répercussions de la grande majorité de ces attaques sont restées très limitées en termes de perturbation, car elles ont été exécutées contre de très petits sites web en Israël ou n’ont duré que quelques secondes ou quelques minutes.
Une seule attaque DDoS a eu un succès relatif : elle visait la version desktop du site Web du Jerusalem Post et a été revendiquée à la fois par Team_insane_Pakistan et par Anonymous Soudan. Les problèmes rencontrés sur le site du Jerusalem Post ont duré environ deux jours.
Piratage, fuites et activités perturbatrices
De nombreuses allégations de piratage, de fuite et de dégradations contre des sites internet et des entreprises israéliennes se sont répandus sur les réseaux sociaux depuis le début du conflit mais, dans la plupart des cas, il s’est agi de la republication de posts liés à d’anciennes fuites ou de données accessibles au public. Les cas qui ont abouti concernent surtout de tout petits sites internet et de très petites entreprises. Parmi les activités revendiquées dans ce domaine, citons la plus significative : le piratage et la fuite du « Ono Academic College », ainsi que le piratage de panneaux d’affichage électroniques. Le 8 octobre, un nouveau canal Telegram qui appartient à un groupe jusqu’alors inconnu appelé « Malek Team » est apparu et a envoyé des revendications concernant le piratage du « Ono Academic College », un établissement d’enseignement supérieur privé en Israël. Ils ont diffusé des données personnelles qui auraient été volées au personnel et aux étudiants, ainsi que des vidéos de vidéosurveillance du campus. L’établissement a été contraint de déconnecter certains de ses systèmes.
Une autre attaque a réussi. Les pirates ont brièvement pris le contrôle de quelques panneaux d’affichage électroniques en Israël. Ils ont ensuite utilisé ces panneaux pour afficher des images de soutien à Gaza, ici avec le drapeau de la Palestine. Cette attaque n’a pas été revendiquée par qui que ce soit.
Enfin, plusieurs groupes auraient affirmé avoir piraté, volé et publié des données de diverses entités israéliennes, et notamment de chaînes d’hôtels israéliennes. Mais la plupart de ces affirmations n’ont pas été confirmées.
Les hacktivistes affiliés à la Russie déplacent leur actions
Depuis le début de la guerre, un changement graduel a été observé dans l’orientation des principaux groupes d’hacktivistes affiliés à la Russie, comme Killnet et Anonymous Sudan. Ils ont délaissé leur discours traditionnellement dirigé contre l’Ukraine et les pays occidentaux pour se focaliser sur des discours extrêmes dirigés contre Israël. Ces groupes, ainsi que ceux qui leur sont étroitement associés, diffusent, repartagent et citent divers contenus diffamatoires visant Israël et ses intérêts. Ils établissent des comparaisons entre Israël, le sionisme et le nazisme, un discours qui était autrefois fréquemment utilisé par ces groupes à l’encontre de l’Ukraine.
Dès les premiers jours de la guerre, Killnet s’est servi de Google Translate pour publier un texte censé expliquer en hébreu pourquoi leur attention était passée de l’Ukraine à Israël : Notons que de tous les groupes hacktivistes, le groupe Anonymous Sudan, affilié à la Russie, a été le premier à se lancer dans la bataille. Il a affirmé que dès samedi matin 7 octobre à 7h33, le système d’alarme publique israélien Tzeva Adom était hors service. Le groupe s’est entièrement investi dans sa campagne anti-israélienne et a ensuite affirmé avoir réussi à démanteler le site web du Jerusalem Post. Anonymous Sudan et Killnet ont ouvert un canal partagé pour organiser des activités contre Israël, sans pour autant qu’aucune revendication d’attaques réelles n’y soit postée.
Une exploiter de la guerre… à des fins lucratives
La guerre a attiré l’attention d’organisations aux motivations lucratives. Ransomed.vc, un groupe de rançonneurs récemment arrivé sur la scène et qui a déjà enregistré une douzaine de victimes célèbres le mois dernier, a annoncé que la dégradation de la sécurité dans la région rendait les entités commerciales plus vulnérables aux attaques et a demandé à acheter un accès initial aux entités d’Israël, de Palestine et d’Iran. Le groupe a ensuite publié ce qu’il a déclaré être une « vidange de données » concernant des patients palestiniens, pour montrer ce qu’ils recherchent.
Des groupes affiliés au gouvernement iranien vont-ils rejoindre le champ de bataille ?
Le groupe d’hacktivistes Adl Ali, formé lors des grandes manifestations contre le régime iranien consécutives à la mort de Mahsa Amini fin de septembre 2022, a rejoint la scène le 10 octobre avec pour objectif de viser les infrastructures israéliennes. Le groupe affiche clairement son soutien au régime iranien et se présente comme « la jeunesse iranienne en quête de liberté ». Jusqu’à présent, leur principale activité consistait à diffuser de la désinformation à l’encontre d’opposants, qu’il s’agisse de groupes ou de particuliers. Le groupe s’est fait connaître en affirmant avoir obtenu des documents et des enregistrements de discussions par le biais d’une cyberattaque dirigée contre le parti Komala du Kurdistan iranien, en prétendant que ce parti était impliqué dans un complot visant à déstabiliser l’État iranien dans l’affaire Mahsa Amini.
Ils avaient précédemment pris pour cibles la famille de Reza Pahlavi, fils de l’ancien Shah d’Iran et leader d’un groupe d’opposition en exil, Masih Alinejad, militante irano-américaine des droits des femmes, ainsi que Nazanin Boniadi, actrice britannique d’origine iranienne reconnue pour son engagement en faveur de la jeunesse iranienne et des droits des femmes. Cependant, il semble que leur domaine d’intérêt ait évolué, car ils ont récemment annoncé avoir mené une cyberattaque contre les infrastructures vitales d’Israël. À ce jour, aucune cible spécifique ni aucun dommage notable n’ont été rendus publics.
Pour l’éditeur, « il ne fait aucun doute que la cyberguerre jouera un rôle essentiel dans la dynamique de ce conflit. Les entreprises, quelle que soit leur situation géographique, devraient saisir cette occasion pour renforcer leurs cyberdéfenses, hiérarchiser les mises à jour de leurs systèmes et peaufiner leurs protocoles de cybersécurité.«
