Les données de 15 millions de cartes bancaires des trois plus grandes banques iraniennes ont été publiées à partir du 27 novembre sur Telegram. Plusieurs experts soupçonnent un état d’être derrière cette fuite massive. Téhéran minimise l’attaque contre le système bancaire mais a affirmé le 11 décembre avoir repoussé une cyberattaque massive contre ses services publiques.

Une cyberattaque dans un contexte très particulier

La fuite de données bancaires massive intervient à un moment particulier de la République islamique. Le pays a été touché de plein fouet par un mouvement social d’ampleur déclenché par l’annonce, le 15 novembre, d’une hausse des prix de l’essence. Des manifestations que le gouvernement iranien a choisi de réprimer dans le sang, au moins 208 morts selon un décompte d’Amnesty International. Un massacre à huis clos : Téhéran a coupé ses habitants d’internet pour un temps.

Au cours de ce mouvement social, 730 succursales bancaires ont été attaquées par les manifestants, un événement auquel font directement référence les messages Telegram qui accompagnaient les données bancaires rendues publiques rapporte le New York Times, « nous brûlerons la réputation de leurs banques de la même manière que nous avons incendié leurs banques ».

Les noms des titulaires de comptes, les numéros de comptes et peut-être d’autres informations ont été publiés sur un canal de la messagerie chiffré Telegram intitulé « Vos cartes bancaires ». Les informations étaient accompagnées d’instructions pour exploiter les données en fabriquant des cartes contrefaites. Les trois banques les plus importantes du pays ont été touchées, Mellat, Tejarat et Sarmayeh.

Pour Aftab News, un média  conservateur, la fuite est considérée comme « la plus grande escroquerie financière de l’histoire de l’Iran ». Les banques ont envoyé des SMS d’alerte à leurs clients lorsque la nouvelle s’est s’ébruitée. De son côté la police iranienne spécialisée en cybercriminalité a envoyé un mail enjoignant les personnes concernées à se rendre dans une agence bancaire pour changer de carte.

Du côté du gouvernement on a tardé à réagir. Le ministre de l’Information et des Télécommunications Mohammad Javad Azari Jahromi n’a pris la parole le 8 décembre que pour minimiser l’affaire. Il a tenté de convaincre que l’attaque n’était pas due à une faille de sécurité du système bancaire iranien, mais à un acte isolé d’un entrepreneur ayant accès à ces données sensibles.

Une ou deux attaques ?

Le lendemain de la publication du New York Times, le 10 décembre, le ministre de l’information a repris la parole pour cette fois dénoncer une « attaque vraiment massive » et « soutenue par un État » rapporte l’AFP. Difficile à ce stade de déterminer si le ministre fait référence à la fuite de données bancaires où à une autre cyberattaque.

Le ministre affirme que cette attaque visait « l’infrastructure de services publics en ligne ». Il explique également que l’attaque « a été identifiée et repoussée avec succès par le bouclier national de cybersécurité ». Ce qui ne correspond pas aux caractéristiques de la fuite de données bancaires.

En admettant que la fuite de données bancaires soit un événement indépendant de l’attaque à laquelle fait référence Azari Jahromi, son origine étatique est également plus que probable selon les experts en cybersécurité.

Boez Dolev, Le PDG de Clearsky, l’entreprise de cybersécurité qui a donné l’alerte, a estimé auprès du New York Times que l’attaque avait été menée grâce à « des capacités technologiques élevées qui sont généralement aux mains des services de renseignements de l’État ». L’intérêt semble sauter aux yeux pour les experts : en pleine période de contestation du pouvoir et de répression, la cyberattaque viserait directement à entretenir l’instabilité du pays. L’hypothèse d’une seconde attaque contre les services publics renforce cette théorie.

Un (ou deux) nouveaux épisodes d’une cyberguerre qui dure depuis des années

Si aucun pays n’a été cité, ni par les experts, ni par le gouvernement iranien, les regards se tournent naturellement vers Israël et leur allié américain. Tout le monde garde en mémoire le ver informatique Stuxnet, découvert en 2010, qui a permis la destruction d’une centrifugeuse iranienne. Il est attribué aux États-Unis et Israël. Plus récemment, en octobre, les États-Unis avaient piraté le service de propagande iranien.

En 2012, 22 banques iraniennes avaient été piratées rendant publiques des informations sur 3 millions de comptes. Un hacker iranien avait revendiqué cette attaque. Sur la même période, entre 2011 et 2013, le ministère de la Justice américain a accusé la République islamique de cyberattaques contre des banques américaines telles que JP Morgan Chase, Bank of America.

Un élément est susceptible d’orienter les soupçons vers la première puissance mondiale : il y a un peu plus d’un an, le Trésor américain avait placé sur liste noire les trois banques iraniennes ciblées pour leurs liens avec les Gardiens de la Révolution. Pilier de la République islamique, les Gardiens de la Révolution sont considérés comme un groupe terroriste par l’administration Trump depuis avril.

Boaz Dolev, qui a travaillé 10 ans pour le compte de l’état hébreu, estime que le gouvernement et les banques israéliennes devraient se préparer à une contre-attaque similaire à celle qui a touché l’Iran. Au Moyen-Orient, la cyberguerre bat son plein.