Aujourd’hui, le centre d’analyse des menaces numériques (DTAC) de Microsoft attribue une récente opération d’influence visant le journal satirique français Charlie Hebdo à un acteur étatique iranien. Microsoft appelle cet acteur NEPTUNIUM, qui a également été identifié par le département de la Justice des États-Unis comme Emennet Pasargad.
Début janvier, un groupe en ligne inconnu se faisant appeler « Holy Souls », que nous pouvons désormais identifier comme NEPTUNIUM, a affirmé avoir obtenu les données personnelles de plus de 200 000 clients de Charlie Hebdo après avoir « accédé à une base de données ». À titre de preuve, Holy Souls a publié un exemple des données, qui comprenait une feuille de calcul détaillant les noms complets, les numéros de téléphone et les adresses personnelles et courriel des comptes qui s’étaient abonnés au journal ou qui avaient acheté des numéros. Ces informations, obtenues par l’acteur iranien, pourraient exposer les abonnés du journal à un risque de ciblage en ligne ou physique par des organisations extrémistes.
Nous pensons que cette attaque est une réponse du gouvernement iranien à un concours de caricatures organisé par Charlie Hebdo. Un mois avant l’attaque de Holy Souls, le journal a annoncé qu’il organiserait un concours international de caricatures « ridiculisant » le guide suprême iranien Ali Khamenei. Le numéro contenant les caricatures gagnantes devait être publié début janvier, pour coïncider avec le huitième anniversaire de l’attaque des bureaux du journal par deux assaillants missionnés par Al-Qaida dans la péninsule arabique (AQPA).
Holy Souls a mis en vente le cache de données pour 20 BTC (soit environ 340 000 USD à l’époque). La publication de l’ensemble des données volées, à supposer que les pirates disposent réellement des données qu’ils prétendent posséder, constituerait essentiellement un doxing massif du lectorat d’une publication qui a déjà fait l’objet de menaces extrémistes (2020) et d’attaques terroristes meurtrières (2015). Le journal français Le Monde a pu confirmer « auprès de multiples victimes de cette fuite » la véracité de l’exemple de document publié par Holy Souls, afin d’éviter que les données client prétendument volées ne soient considérées comme fabriquées.
Après la publication d’exemples de données par Holy Souls sur YouTube et sur de nombreux forums de pirates informatiques, la fuite a été amplifiée par une opération concertée sur plusieurs plateformes de réseaux sociaux. Un ensemble particulier de tactiques, de techniques et de procédures (TTP) d’influence dont le DTAC avait déjà été témoin lors d’opérations d’influence iraniennes de piratage et de fuite, a contribué à cet effort d’amplification.
L’attaque a coïncidé avec les critiques du gouvernement iranien à l’égard des caricatures. Le 4 janvier, le ministre iranien des Affaires étrangères, Hossein Amir-Abdollahian, a tweeté : « L’acte insultant et discourtois de la publication française […] contre l’autorité religieuse et politico-spirituelle ne […] restera pas sans réponse. » Le même jour, le ministère iranien des affaires étrangères a convoqué l’ambassadeur de France en Iran en raison de « l’insulte » proférée par Charlie Hebdo. Le 5 janvier, l’Iran a fermé l’Institut Français de Recherche en Iran dans ce que le ministère iranien des Affaires étrangères a qualifié de « première étape », et a déclaré qu’il « suivrait sérieusement l’affaire et prendrait les mesures nécessaires. »
Suivez la Sécurité Microsoft