Menaces iraniennes : les géants de la tech face à leur point faible caché

C'est important car le monde fonctionne aujourd'hui sur un petit nombre de plateformes numériques privées. Une menace visant des « entreprises technologiques » ne s'arrête pas aux sièges sociaux en Californie. Elle voyage à travers les régions cloud, les liaisons télécoms, les sous-traitants, les réseaux de diffusion de contenu, les boutiques d'applications et les systèmes d'identité. Au moment où un utilisateur ordinaire s'en rend compte, la pression a peut-être déjà traversé plusieurs couches de l'infrastructure.

Il y a de bonnes raisons de prendre ce risque au sérieux. Les agences du gouvernement américain ont averti à plusieurs reprises que les cyberacteurs liés à l'État iranien restent actifs et dangereux. La CISA (Cybersecurity and Infrastructure Security Agency), le FBI et la NSA ont tous publié des avis au fil des ans. Ces avis décrivent des groupes iraniens utilisant le phishing, le « password spraying », l'exploitation de failles logicielles connues et des attaques perturbatrices contre des réseaux publics et privés. En 2023 et 2024, les autorités américaines ont aussi continué d'alerter que des acteurs étatiques étrangers, y compris ceux liés à l'Iran, sondaient les infrastructures critiques et les systèmes connectés à Internet.

L'Iran a des antécédents dans ce domaine. Des responsables américains et des entreprises de cybersécurité privées ont lié des acteurs iraniens à des campagnes d'attaques par déni de service (DDoS) contre des institutions financières américaines au début des années 2010. Ils les ont aussi liés à des activités destructrices contre des entreprises dans le Golfe et à de l'espionnage répété visant des réseaux gouvernementaux, de télécoms, de l'aérospatiale et de la technologie. Microsoft, Mandiant, Check Point et d'autres grandes entreprises de sécurité ont documenté des groupes iraniens qui se concentrent non seulement sur l'espionnage classique, mais aussi sur des opérations d'influence et des attaques qui exploitent les moments de tension politique. Le schéma est connu : quand les tensions montent, les cyberopérations deviennent souvent l'un des outils les moins chers et les plus faciles à nier.

Ce passé change le sens d'une menace contre les entreprises technologiques américaines. Cela ne signifie pas qu'une seule attaque spectaculaire est certaine. Cela signifie que le risque se propage sur une grande surface d'attaque. Les grandes entreprises de technologie sont des cibles attrayantes car elles sont au centre de tant d'activités économiques. Un seul fournisseur de cloud peut héberger à la fois des outils gouvernementaux, des hôpitaux, des logiciels de logistique, des systèmes de paie et des applications grand public. Un seul fournisseur d'identité peut affecter l'accès aux systèmes de travail de milliers d'organisations. Une intrusion réussie chez un fournisseur de logiciels ou un prestataire de services peut se propager à de nombreux clients en même temps.

C'est là que se trouve le point faible caché. Le débat public se concentre souvent sur la capacité d'une entreprise à défendre son propre réseau. La question plus profonde est de savoir si la chaîne d'approvisionnement numérique au sens large peut absorber la pression. La recherche montre constamment pourquoi c'est difficile. Les rapports annuels d'IBM sur le coût des violations de données ont toujours constaté que les brèches impliquant la chaîne d'approvisionnement et des identifiants volés sont particulièrement coûteuses et lentes à contenir. Le rapport d'enquête sur les violations de données de Verizon a montré à plusieurs reprises que l'erreur humaine, les mauvaises pratiques de mots de passe et les appareils en périphérie de réseau non mis à jour restent des points d'entrée courants. Autrement dit, même les très grandes entreprises avec de gros budgets de sécurité dépendent souvent de partenaires, de sous-traitants et de systèmes anciens qui sont bien moins protégés.

La concentration du cloud aggrave la situation. L'internet moderne est résilient à certains égards, mais aussi exceptionnellement centralisé à d'autres. Une poignée d'entreprises dominent le cloud, les canaux publicitaires, les systèmes d'exploitation mobiles, les logiciels de productivité d'entreprise et la diffusion de contenu mondiale. Ce modèle a apporté vitesse et échelle. Il a aussi créé de nouvelles formes de risque systémique. Si des acteurs hostiles ne peuvent pas forcer la porte d'entrée d'une grande plateforme, ils peuvent viser les portes dérobées : les outils de support tiers, les opérateurs télécoms régionaux, les interfaces de programmation (API) exposées ou les employés sous pression via l'ingénierie sociale.

Les conséquences probables sont plus larges que beaucoup de lecteurs ne le pensent. Les consommateurs peuvent croire que c'est un problème pour les équipes de sécurité des entreprises, pas pour la vie de tous les jours. Mais si les grandes entreprises technologiques américaines subissent une pression hostile soutenue, les effets pourraient toucher les réinitialisations de mot de passe, le support client, les correctifs logiciels, le routage internet, la latence du cloud et les systèmes de vérification de compte. Les petites entreprises le ressentiraient rapidement. Il en serait de même pour les gouvernements locaux, les écoles et les hôpitaux qui dépendent des mêmes plateformes. Ces dernières années, les rançongiciels et les pannes de logiciels ont déjà montré à quel point la vie quotidienne est liée aux systèmes numériques en arrière-plan. Une perturbation à motivation politique exploiterait la même dépendance.

Il y a aussi un danger de réaction excessive. Les entreprises publiquement menacées pourraient se précipiter pour prendre des mesures de sécurité visibles mais limitées, tout en négligeant des corrections structurelles plus difficiles. Elles pourraient renforcer leur communication, ajouter une surveillance temporaire et publier des déclarations, tout en laissant les accès des fournisseurs mal contrôlés ou en ne réduisant pas les points de défaillance uniques. Les chercheurs en sécurité soutiennent depuis longtemps que la résilience est aussi importante que la prévention. En termes simples, les entreprises doivent partir du principe que certaines attaques réussiront et construire des systèmes qui tombent en panne de manière plus maîtrisée.

Cela implique plusieurs mesures concrètes. Les grandes entreprises technologiques devraient réduire la concentration inutile des accès à privilèges, segmenter plus agressivement leurs réseaux internes et raccourcir les cycles de mise à jour des systèmes connectés à Internet. Elles devraient s'entraîner à la réponse aux incidents avec les fournisseurs de télécoms, les clients du cloud et les fournisseurs critiques, au lieu de traiter une faille comme un événement interne et privé. L'authentification multi-facteurs, les clés de sécurité matérielles et des contrôles plus stricts sur l'accès des sous-traitants sont désormais des besoins de base, pas des options de luxe. Il en va de même pour une meilleure journalisation des activités dans les environnements cloud, où de nombreuses organisations ont encore des angles morts.

Les gouvernements ont aussi un rôle à jouer. Les agences publiques devraient partager les informations sur les menaces plus rapidement et dans un langage plus simple avec les petites entreprises qui dépendent des grandes plateformes mais n'ont pas d'équipes de sécurité d'élite. Les règles des marchés publics peuvent pousser les fournisseurs à offrir une sécurité par défaut plus forte. Les régulateurs devraient prêter plus d'attention au risque de concentration numérique, car une trop grande dépendance à l'égard de quelques entreprises peut transformer une attaque d'entreprise en un problème de société.

Les utilisateurs ne sont pas non plus impuissants. Les entreprises et les particuliers peuvent réduire les dégâts en répartissant les fonctions critiques entre plusieurs services lorsque c'est possible. Ils peuvent aussi conserver des sauvegardes hors ligne, utiliser des gestionnaires de mots de passe, activer une authentification forte et se méfier des messages urgents concernant leur compte. Ce sont des actions modestes, mais elles comptent lorsque les attaquants misent sur la panique et la confusion.

La plus grande erreur est de penser que de telles menaces appartiennent à un monde lointain d'espionnage et de postures militaires. En réalité, elles pointent vers quelque chose de bien plus personnel. Les appareils dans nos mains et les outils cloud que nous utilisons au travail font désormais partie de l'infrastructure géopolitique. Quand une organisation militaire étrangère menace de grandes entreprises technologiques, l'enjeu n'est pas seulement la sécurité nationale. Il s'agit de savoir si les systèmes numériques auxquels les gens font confiance chaque jour sont conçus pour résister à la pression sans les laisser tomber discrètement. Ce n'est plus une question technique secondaire. C'est l'une des questions d'intérêt public centrales de l'internet moderne.