Microsoft a déclaré vendredi qu’un groupe d’États-nations iraniens déjà sanctionné par le gouvernement américain était à l’origine d’une attaque le mois dernier qui visait le magazine satirique français Charlie Hebdo et des milliers de ses lecteurs.
L’attaque a été révélée le 4 janvier, lorsqu’un groupe auparavant inconnu se faisant appeler Holy Souls s’est rendu sur Internet pour affirmer qu’il avait obtenu une base de données Charlie Hebdo contenant des informations personnelles sur 230 000 de ses clients. Le message a déclaré que la base de données était disponible à la vente au prix de 20 BTC, soit environ 340 000 $ à l’époque. Le groupe a également publié un échantillon des données qui comprenaient les noms complets, les numéros de téléphone et les adresses personnelles et électroniques des personnes qui s’étaient abonnées à la publication ou avaient acheté des marchandises à partir de celle-ci. Les médias français ont confirmé la véracité des données divulguées.
La publication de l’échantillon expose les clients à un ciblage en ligne ou à des violences physiques de la part de groupes extrémistes, qui ont exercé des représailles contre Charlie Hebdo ces dernières années pour son traitement satirique des questions relatives à la religion musulmane et aux pays islamiques tels que l’Iran. Les représailles comprenaient la fusillade de 2015 par deux terroristes et frères musulmans français dans les bureaux de Charlie Hebdo qui a tué 12 personnes et en a blessé 11 autres. Pour attirer davantage l’attention sur les données piratées, une rafale de faux personnages – l’un prétendant à tort être un rédacteur en chef de Charlie Hebdo – s’est rendu sur les réseaux sociaux pour discuter et faire connaître la fuite.
Microsoft
Vendredi, Clint Watts, le directeur général du Digital Threat Analysis Center de Microsoft, a écrit :
Nous pensons que cette attaque est une réponse du gouvernement iranien à un concours de caricatures organisé par Charlie Hebdo. Un mois avant que Holy Souls ne mène son attaque, le magazine a annoncé qu’il organiserait un concours international de caricatures « ridiculisant » le guide suprême iranien Ali Khamenei. Le numéro présentant les caricatures gagnantes devait être publié début janvier, à l’occasion du huitième anniversaire d’une attaque perpétrée par deux assaillants inspirés d’al-Qaïda dans la péninsule arabique (AQAP) contre les bureaux du magazine.
Les tactiques, techniques et procédures de la campagne d’influence ont conduit les chercheurs de Microsoft à conclure qu’il s’agissait de l’œuvre d’Emennet Pasargad, un groupe iranien qui a longtemps été surveillé et ciblé par le gouvernement américain. Le FBI a déclaré en janvier 2022 qu’Emennet Pasargad était derrière « une campagne à multiples facettes pour s’ingérer dans l’élection présidentielle américaine de 2020 ».
Les participants à l’opération ont obtenu des informations confidentielles sur les électeurs américains d’au moins un site Web électoral d’État, envoyé des courriels menaçants destinés à intimider les électeurs et publié une vidéo diffusant de la désinformation concernant des vulnérabilités de vote inexistantes. Le groupe a également revendiqué son affiliation au groupe néo-fasciste Proud Boys pour intimider davantage les électeurs.
En octobre dernier, le FBI a déclaré qu’Emennet Pasargad avait ciblé des groupes en Israël avec « des opérations d’information cybernétique qui comprenaient une intrusion initiale, un vol et une fuite de données ultérieure, suivie d’une amplification via les médias sociaux et les forums en ligne, et dans certains cas le déploiement de logiciels malveillants de chiffrement destructeurs.
En 2021, le Trésor américain a imposé des sanctions à Emennet Pasargad et à six ressortissants iraniens membres, citant leurs tentatives « de semer la discorde et de saper la confiance des électeurs dans le processus électoral américain ».
Le message de vendredi indiquait que Microsoft avait « une grande confiance » dans le fait que le groupe, que la société appelle Neptunium, était à l’origine de la campagne d’influence de Charlie Hebdo. L’évaluation s’est basée sur des éléments tels que :
- Un hacktiviste revendiquant le mérite de la cyberattaque
- Revendications d’une dégradation de site Web réussie
- Fuite de données privées en ligne
- L’utilisation de personnages de médias sociaux inauthentiques « sockpuppet » – des comptes de médias sociaux utilisant des identités fictives ou volées pour masquer le véritable propriétaire du compte à des fins de tromperie – prétendant être du pays ciblé par le piratage pour promouvoir la cyberattaque en utilisant un langage avec des erreurs évidentes aux locuteurs natifs
- Usurpation d’identité de sources faisant autorité
- Contacter les organisations de news meida
Microsoft
Microsoft a déclaré que la campagne de janvier utilisait des comptes de médias sociaux sockpuppet en français, dont beaucoup avec un faible nombre d’abonnés, pour amplifier la fuite et « distribuer des messages antagonistes ». Les comptes ont également publié des critiques du concours de dessins animés visant Khamenei.
« Essentiellement, avant qu’il n’y ait eu de rapports substantiels sur la prétendue cyberattaque, ces comptes ont publié des captures d’écran identiques d’un site Web dégradé qui comprenait le message en français : » Charlie Hebdo a été piraté « ( » Charlie Hebdo a été piraté « ) « , Watts écrit.
Peu de temps après, au moins deux comptes de médias sociaux – l’un prétendant appartenir à un cadre technologique et l’autre à un éditeur de Charlie Hebdo – ont publié des captures d’écran des données client divulguées.
La campagne documentée par Microsoft est le dernier rappel que les médias sociaux sont souvent manipulés par des groupes d’intérêts spéciaux, dont certains ont les poches pleines. Les gens feraient bien de se souvenir de cette manipulation et de veiller à vérifier les allégations avant de les diffuser davantage.