États-Unis Les agences de renseignement ont averti que les pirates informatiques du gouvernement iranien utilisent activement l’application de messagerie Telegram pour infiltrer et voler les données des dissidents, des journalistes et des groupes d’opposition du monde entier. Le FBI a publié vendredi une alerte publique détaillant comment ces acteurs exploitent Telegram pour déployer des logiciels malveillants, accéder à distance aux appareils des victimes et exfiltrer des informations sensibles.
Comment fonctionnent les attaques
L’opération se déroule en deux étapes clés. Premièrement, les pirates se font passer pour des contacts de confiance ou une assistance technique pour inciter leurs cibles à télécharger des fichiers malveillants déguisés en applications légitimes (comme Telegram ou WhatsApp lui-même). Une fois installé, ce malware connecte l’ordinateur de la victime aux robots basés sur Telegram, permettant aux attaquants de contrôler l’appareil à distance.
Cela permet aux pirates informatiques de voler des fichiers, de capturer des captures d’écran et même d’enregistrer des communications privées comme les appels Zoom.
Les attaquants exploitent l’infrastructure de Telegram car elle masque les activités malveillantes au sein du trafic réseau régulier, ce qui rend la détection par les outils de cybersécurité plus difficile. Cette tactique met en évidence une tendance croissante des cyberacteurs à intégrer leurs opérations au sein de plateformes couramment utilisées pour échapper à tout contrôle.
Activité parrainée par l’État
Le FBI attribue ces attaques au ministère iranien du Renseignement et de la Sécurité (Vevak), les considérant comme faisant partie d’un effort plus large visant à promouvoir les intérêts géopolitiques du régime. Un groupe hacktiviste pro-iranien, « Handala », a revendiqué la responsabilité de récentes attaques très médiatisées, notamment une violation perturbatrice contre la société de technologie médicale Stryker.
Stryker a confirmé dans un dossier déposé auprès de la SEC qu’il se remet encore du piratage, qui impliquait l’effacement de dizaines de milliers d’appareils d’employés. Le ministère américain de la Justice a accusé Handala d’agir comme une façade pour le Vevak, ce qui a conduit à la saisie de sites Web liés à Handala et à un autre groupe iranien, « Homeland Justice ». Le FBI maintient que les deux sont contrôlés par les mêmes acteurs étatiques.
Réponse de Telegram
Le porte-parole de Telegram, Remi Vaughn, a déclaré que la plateforme supprimait activement les comptes impliqués dans la distribution de logiciels malveillants. Cependant, l’utilisation continue du service par ces acteurs démontre les défis liés au contrôle de telles activités à grande échelle.
L’incident souligne la nature évolutive de la cyberguerre parrainée par l’État, où des plateformes apparemment inoffensives comme Telegram sont utilisées comme armes pour faciliter l’espionnage et la perturbation. L’avertissement du FBI rappelle que les utilisateurs doivent rester vigilants face aux tactiques d’ingénierie sociale et aux téléchargements de logiciels non autorisés.
