À la suite des frappes militaires menées le 28 février 2026 par les États-Unis et Israël, la tension s’est immédiatement déplacée dans le cyberespace. Si l’escalade est réelle, l’analyse publiée par Unit 42 révèle une dynamique plus complexe : capacités étatiques entravées, montée en puissance des hacktivistes et risque d’actions plus imprévisibles dans un environnement géopolitique instable.
Une escalade sous contraintes techniques et organisationnelles
La séquence est désormais bien identifiée. Dans la foulée des opérations militaires américaines et israéliennes, des acteurs alignés sur l’Iran ont engagé des actions de représailles numériques, transformant un affrontement militaire en confrontation cyber trans-régionale.
Mais cette riposte s’inscrit dans un contexte particulier. Selon Unit 42, d’importantes coupures d’Internet en Iran ont fait chuter la connectivité à des niveaux extrêmement bas, entre 1 % et 4 % du trafic habituel. Ces perturbations, combinées à des tensions au sein de la chaîne de commandement, limitent la capacité des groupes étatiques à conduire des opérations complexes ou fortement coordonnées.
« L’Iran est généralement considéré comme un acteur de la catégorie supérieure du deuxième rang, pas au niveau de la Chine ou de la Russie, mais comparable à la Corée du Nord. Son approche est opportuniste. Une grande partie de ce que nous observons relève d’attaques par déni de service et d’activités relativement peu sophistiquées », analyse Gary Barlet, architecte principal de solutions, secteur public, chez Illumio.
Privés d’un pilotage centralisé, certains acteurs pourraient néanmoins agir de manière plus autonome. « Il serait erroné de supposer que le cyber intervient après les opérations cinétiques. Il est probable que tout se déroule en parallèle », poursuit-il. Moins structurées, ces initiatives seraient alors aussi plus imprévisibles. La sophistication technique pourrait diminuer à court terme, sans que la volatilité du risque ne disparaisse pour autant.
La montée en puissance des hacktivistes et des campagnes d’ingénierie sociale
L’activité des groupes hacktivistes connaît une hausse marquée. Unit 42 (Palo Alto Network) observe l’implication d’environ soixante collectifs pro-iraniens ou alignés sur des intérêts similaires. Certains privilégient les opérations de type « hack-and-leak », d’autres les campagnes de déni de service ou la défiguration de sites. Des groupes comme Handala Hack, APT Iran, Cyber Islamic Resistance, Dark Storm Team, FAD Team, Evil Markhors, Sylhet Gang, 313 Team ou DieNet figurent parmi ceux suivis actuellement.
« On a tendance à se concentrer sur l’armée, les Gardiens de la révolution ou les services de renseignement, mais il ne faut pas oublier les groupes hacktivistes qui soutiennent l’Iran. Ces groupes ne sont pas nécessairement affectés par les frappes et peuvent voir la situation comme une opportunité de contribuer », souligne Gary Barlet.
Le niveau de complexité des attaques recensées reste globalement faible à intermédiaire. L’objectif semble autant symbolique qu’opérationnel : démontrer une capacité de nuisance, perturber temporairement des services et maintenir une pression informationnelle.
Parallèlement, plusieurs campagnes de phishing et d’ingénierie sociale sont activement suivies. L’une d’elles repose sur une fausse application Android imitant RedAlert, l’application israélienne d’alerte du Home Front Command. L’installation d’un fichier APK malveillant permet ensuite le déploiement d’un logiciel espion capable d’exfiltrer des données depuis les terminaux mobiles. D’autres opérations exploitent le climat de crise pour mener des escroqueries téléphoniques, notamment aux Émirats arabes unis, en se faisant passer pour des autorités locales afin de soutirer des identifiants sensibles.
En dehors de l’Iran, des groupes activistes de plus petite taille pourraient également cibler des adversaires perçus. À ce stade, l’impact attendu de ces initiatives sur les organisations reste toutefois jugé relativement limité.
Pressions logistiques et menace étatique en arrière-plan
Au-delà de ces actions opportunistes, Unit 42 continue de surveiller plusieurs acteurs étatiques iraniens regroupés sous l’appellation « Serpens ». Historiquement, ces groupes ont mené des campagnes à la fois destructrices et psychologiques contre des cibles gouvernementales, militaires ou infrastructurelles.
« Il existe un vaste écosystème de groupes hacktivistes et de groupes mandataires alignés, capables d’opérer de manière autonome et simultanée. Ces groupes ne sont pas affectés de la même manière par des perturbations internes et ont tendance à intensifier leurs activités lors de telles périodes », observe Gary Barlet.
Si les contraintes actuelles semblent freiner les opérations les plus structurées, l’hypothèse d’une montée en intensité demeure. Les analystes anticipent notamment que des groupes alignés sur l’Iran pourraient chercher à perturber des chaînes logistiques en visant des gouvernements situés à proximité de bases militaires américaines, via des campagnes DDoS ou des opérations de type « hack-and-leak ».
