Google confirme que le groupe de pirates APT42, lié à l'Iran, a ciblé les comptes personnels de membres des campagnes de Trump et de Harris. Ces attaques s'inscrivent dans une stratégie plus large visant à influencer l'élection présidentielle américaine de 2024 et à déstabiliser Israël.
Les élections américaines sont dans le viseur des hackers iraniens. C'est ce que révèle Google dans un rapport détaillé publié ce 14 août. Le géant de la tech y dévoile les dessous d'une vaste opération de piratage menée par APT42, un groupe affilié aux gardiens de la révolution islamique.
Ils ciblent principalement les comptes personnels de l'entourage de Donald Trump et de Kamala Harris. Si Google joue les gendarmes en tentant de limiter les dégâts et les cyberattaques qui ciblent les campagnes des candidats à la présidence américaine, APT42 a également tendu ses filets sur Israël en multipliant les attaques contre des personnalités clés du pays.
Les campagnes présidentielles américaines de Donald Trump et de Kamala Harris sous le feu des hackers iraniens
Le groupe APT42 n'est pas connu pour agir à la légère. Ces pirates, que Google relie directement au Corps des gardiens de la révolution islamique iranienne, ont lancé une offensive d'envergure contre les campagnes présidentielles américaines. Pourtant, leur méthode, elle, n'a rien d'innovant. Un bon vieux phishing bien ficelé.
Ils ont ciblé les boîtes mail personnelles d'une douzaine de personnes gravitant autour de Joe Biden, de Kamala Harris et de Donald Trump. On parle ici de collaborateurs actuels, d'anciens du gouvernement et de membres des équipes de campagne. Pas de petits poissons dans leurs filets, donc.
Ils se font alors passer pour des journalistes en mal d'interviews, envoient des PDF factices et n'hésitent pas à créer de faux sites clonés sur les vrais. Toute la panoplie est déployée pour faire cliquer sur un lien vérolé et voler les identifiants.
« Aujourd’hui, TAG [le groupe d'analyse des menaces de Google, NDLR] continue d'observer les tentatives infructueuses d'APT42 visant à compromettre les comptes personnels d'individus affiliés au président Biden, à la vice-présidente Harris et à l'ancien président Trump, y compris des responsables gouvernementaux actuels et anciens, et des individus associés aux campagnes », lit-on sur le blog de Google.
Malgré cette surveillance accrue, ces attaques continuent. APT42 ne lâche pas l'affaire, quitte à se casser les dents sur la sécurité renforcée de Google. Le processus électoral américain se retrouve donc une nouvelle fois fragilisé. Déjà en 2020, la campagne électorale des candidats Biden et Trump avait été perturbée par APT42. On se souvient également des ingérences russes en 2016.
Cette fois, l'Iran tente de mettre son grain de sel dans la présidentielle de 2024. Il faut dire que les relations entre l'ancienne Perse et les États-Unis sont extrêmement tendues depuis 45 ans, avec une escalade depuis le début du conflit qui oppose Israël et le Hamas fin 2023.
Comment Google jugule les attaques de APT42 dans les campagnes électorales américaines
Le géant de la tech a déployé tout un arsenal pour contrer les tentatives de piratage du groupe iranien. Première ligne de défense : le blocage pur et simple. Les équipes de sécurité de Google ont tout fait pour empêcher APT42 d'accéder aux comptes de messagerie personnels ciblés.
Google a aussi sonné l'alarme auprès des utilisateurs à risque. Des avertissements clairs et nets ont été envoyés aux personnes dans le collimateur des pirates :
En plus de nos actions habituelles consistant à sécuriser rapidement tout compte compromis et à envoyer des avertissements aux comptes ciblés, soutenus par le gouvernement, nous avons signalé de manière proactive cette activité malveillante aux forces de l'ordre début juillet et nous continuons de coopérer avec elles. Dans le même temps, nous avons également informé les responsables de la campagne que Google constatait une augmentation des activités malveillantes provenant d'acteurs étatiques étrangers, et nous avons souligné l'importance de renforcer la protection de la sécurité des comptes de messagerie personnels.
Le programme de protection avancée (APP) de Google a par ailleurs été déclenché. Gratuit et sur la base du volontariat, ce dispositif est destiné aux hauts responsables : élus, candidats, staffeurs de campagne, journalistes, fonctionnaires… Toutes les personnes qui manipulent des données extrêmement sensibles en cas de cyberpiratage.
En somme, Google joue les tours de contrôle face à la menace APT42. Détection, prévention, protection : le combo gagnant pour tenir les pirates iraniens à distance des données sensibles américaines.
Israël, l'autre cible privilégiée des hackers iraniens
Mais les Américains ne sont pas les seuls dans le collimateur d'APT42. Israël est aussi visé. Les pirates iraniens ont redoublé d'efforts pour s'infiltrer dans les systèmes informatiques de l'État hébreu. Et là encore, ils ne visent pas n'importe qui.
Dans leur ligne de mire : des hauts gradés de l'armée israélienne, des diplomates, des chercheurs et même des ONG. Tout ce qui touche de près ou de loin à la défense et à la politique étrangère d'Israël. Ces attaques ne sont pas le fruit du hasard, elles collent parfaitement avec l'escalade des tensions entre l'Iran et Israël.
Les pirates se font passer pour des journalistes en quête de scoop sur les dernières frappes aériennes. Ils créent de faux sites d'information, ou bien truquent des pétitions dans l'unique but de déclencher un clic. Le principe du phishing est encore le plus efficace pour voler identifiants et données sensibles.
Google a mis les bouchées doubles pour contrer ces attaques. Sites malveillants fermés, comptes suspects bloqués, avertissements envoyés aux cibles potentielles… Le géant du Web fait feu de tout bois. Mais la partie est loin d'être gagnée. Les pirates d'APT42 sont tenaces et inventifs. Ils adaptent constamment leurs techniques pour contourner les défenses mises en place.
Cette cybercampagne contre Israël montre à quel point la guerre froide entre Téhéran et Tel-Aviv s'est déplacée dans le cyberespace. Les enjeux sont colossaux : espionnage militaire, vol de secrets diplomatiques, déstabilisation politique, etc. C'est tout l'équilibre géopolitique du Moyen-Orient qui pourrait être bouleversé par ces attaques numériques.