Qui se cache derrière les tentatives de hameçonnage ciblant des militants iraniens à l’étranger ? Cette question, brûlante d’actualité à mesure que la surveillance numérique atteint de nouveaux sommets, met en lumière la dernière campagne de phishing dénoncée par l’activiste Nariman Gharib. Que vise-t-on réellement : la collecte d’informations sensibles pour le compte d’un gouvernement ou la recherche de gains financiers ?
Tout commence avec un simple message WhatsApp, en apparence anodin, mais qui cache un lien frauduleux. Pourquoi ces tentatives visent-elles précisément des figures liées à la diaspora iranienne ? Nariman Gharib, militant basé au Royaume-Uni et impliqué à distance dans le suivi des protestations iraniennes, a averti la communauté contre ce piège numérique. S’agit-il d’une opération isolée ou d’une campagne de grande envergure orchestrée pendant que l’Iran subit sa plus longue coupure d’Internet ?
Après avoir partagé l’intégralité du lien piégé avec TechCrunch, Gharib a permis à des experts de décortiquer sa structure. Leur analyse révèle une campagne sophistiquée cherchant à dérober des identifiants Gmail et WhatsApp, mais aussi à surveiller discrètement l’activité des victimes grâce à la collecte de photos, d’audio et de géolocalisation. Est-ce un mode opératoire typique d’un État, ou plutôt le terrain de jeu de cybercriminels opportunistes ?
Entre surveillance étatique et piraterie opportuniste, la frontière reste troublante dans le cyberespace.
Parmi les victimes, on compte un chercheur en sécurité nationale, un dirigeant d’une entreprise israélienne de drones, un ministre libanais, un journaliste et même des personnes domiciliées aux États-Unis. Un hasard ? Beaucoup en doutent. Ce que les spécialistes ont aussi découvert, c’est une grave faille dans l’infrastructure malveillante : un serveur ouvert, sans mot de passe, qui exposait en temps réel les identifiants collectés. Comment un réseau aussi vulnérable a-t-il pu viser autant de profils stratégiques sans être détecté plus tôt ?
L’exploitation du service DuckDNS pour masquer la localisation des serveurs montre une volonté de brouiller les pistes. En parallèle, le site hébergeur, « alex-fabow.online », disposait de domaines complémentaires, suggérant une attaque multi-plateforme contre divers outils de visioconférence et messageries. Pourquoi cette diversification ? Vise-t-on à maximaliser l’impact ou à diluer les traces ?
La méthodologie va plus loin que la simple récupération d’identifiants. En incitant les victimes à scanner des QR codes WhatsApp ou à partager leurs données de localisation et médias, les hackers cherchaient à obtenir un accès quasi total à la vie numérique de leur cible. Nombre d’experts interrogés y voient la marque d’une offensive state-sponsored. Pourtant, d’autres indices, comme l’utilisation de domaines récemment créés et le risque commercial des données volées, laissent penser à une motivation purement financière.
L’Iran, déjà coutumier de l’externalisation de ses cyberattaques à des groupes criminels, ajoute à la confusion. Et si la vraie question n’était pas de savoir « qui » attaque, mais « qui laisse-faire » ou encourage ces offensives pour brouiller les pistes et éviter des représailles ?
Alors, cette campagne de hameçonnage, révélée à l’occasion des plus récentes protestations et de la censure d’Internet, doit-elle être interprétée comme une cyber-arme politique, un business illégal, ou un mélange des deux ? Mais au fond, la multiplication de ces menaces ne pose-t-elle pas une interrogation plus vaste sur la sécurité numérique des défenseurs de la liberté, à l’ère de la surveillance globale ?
Source : Techcrunch
