La firme de sécurité Cylance a dévoilé une vaste campagne de cyberespionnage, menée par l'Iran, qui a touché des organisations sensibles dans plus de 16 pays, dont la France, l'Allemagne et les États-Unis.
L'Opération Cleaver, du nom d'une séquence de code retrouvée dans les outils malveillants, est une opération de cyberespionnage à grande échelle mise au jour par la société de sécurité Cylance et dévoilée dans un rapport paru le 2 décembre. Cette campagne aurait été menée pendant près de deux ans par des hackers iraniens, qui ont réussi à compromettre les sytèmes d'une cinquantaine d'institutions et entreprises dans le monde.
Les organismes touchés sont notamment des compagnies d'aviation, des universités, des structures militaires, mais aussi des entreprises du secteur de la santé, des télécommunications, et bien sûr des organismes gouvernementaux.
Operation Cleaver cible des infrastructures sensibles dans le monde entier. Des structures militaires aux États-Unis (...), des industries critiques comme l'énergie et les collectivités, l'industrie pétrolière et du gaz, ainsi que des compagnies chimiques. (Mais aussi) des secteurs tels que les télécommunications, la technologie, la santé, l'aérospatiale, la défense et (..) les compagnies aériennes. Des documents confidentiels provenant d'infrastructures sensibles ont été récoltés depuis les plus grandes institutions éducatives à travers le monde.
En France plus précisément, les industries pétrolière et du gaz ont été visées, alors que ce sont les télécommunications en Allemagne et l'éducation en Angleterre. En ce qui concerne les université, les attaques étaient concentrées sur les informations des étudiants, leurs logements, et leurs systèmes d'aide financière. Elles ont particulièrement ciblé les photographies, les passeports, et toutes les informations relatives à l'identité.
Operation Cleaver a réussi à s'infiltrer dans les sytèmes d'une cinquantaine d'organismes de manière plus ou moins profonde, mais Cylance s'inquiète particulièrement du fait que la campagne ait ciblé des réseaux et systèmes de compagnies aériennes et d'aéroports en Corée du Sud, Arabie Saoudite et Pakistan. Les hackers ont notamment réussi à avoir l'accès complet à chaque porte d'embarquement des aéroports et à leur système de sécurité, mais aussi aux systèmes de PayPal et Go Daddy, leur permettant de réaliser des achats frauduleux et d'avoir un libre accès aux informations des voyageurs et des compagnies.
Cylance suppose que Operation Cleaver serait constitué d'un groupe d'une vingtaine de hackers et développeurs, reliés à une organisation appellée Tarh Andishan (Innovation ou Invention en persan), collaborant sur des projets supportants les intérêts de l'Iran, bien que la plupart des membres exercent depuis l'extérieur. Il semblerait que ce groupe possède des appuis aux Pays-Bas, au Canada et en Grande-Bretagne.
Selon le PDG de Cylance,
Cette équipe déploie des compétences évoluées et utilise une infrastructure complexe pour réaliser des attaques dont l'objectif est l'espionnage, le vol ainsi que la destruction potentielle de systèmes de contrôle et de réseaux.
Cylance précise que la sécurité des entreprises et des structures d'État doit être une priorité. D'après l'organisme, de nombreuses infrastructures sensibles ne sont pas sécurisées contre les attaques contemporaines ni futures. La prévention et l'information sont une des priorités de Cylance.
Pour aller plus loin : le rapport de Cylance sur l'Opération Cleaver
Photos : Cylance