La dimension numérique de la rivalité entre Iran et Israël embrasse – surtout depuis le printemps 2020 – la quasi-totalité du spectre : opérations d’influence, intrusions et parfois sabotage des services essentiels, vols et divulgations de données privées, tentatives de déstabilisation, orchestration de ransomwares, etc. Pour quelles conséquences ?
L’observation de la conflictualité numérique est un prérequis indispensable à la maturation des concepts, des modèles et des théories qui ne cessent d’émerger et de s’affiner dans ce champ nouveau de la recherche académique. Si la guerre en Ukraine fournit amplement matière à confirmer ou à infirmer ces derniers, cela reste dans un cadre relativement exceptionnel : celui d’un conflit armé interétatique. On comprend aisément en quoi cet exemple attire puisqu’il intéresse au premier chef les organisations militaires et les décideurs politiques dans un scénario dit de « haute intensité ».
Pour autant, la plupart des travaux empiriques comme l’essentiel du travail de conceptualisation et de théorisation portant sur la conflictualité dans le cyberespace ont bien montré sa pertinence dans d’autres contextes du continuum de la conflictualité (1). C’est la raison pour laquelle la rivalité géopolitique entre Iran et Israël fournit un point utile de comparaison. Confrontées au « cycle de la conflictualité », les deux entités ne sont pas dans la phase d’affrontement, mais semblent s’être installées dans celle de la contestation, donc sous le seuil de la guerre ouverte. Par ailleurs, les cyberopérations menées contre l’un et l’autre – sans que l’on puisse formellement les attribuer à l’un ou à l’autre d’ailleurs – sont intéressantes à plus d’un titre. Elles nous renseignent sur les contours des logiques stratégiques, des acteurs et des effets voulus ou non voulus qui résultent du recours au cyberespace comme instrument de coercition ou de subversion. Enfin, et c’est l’un des points les plus importants par rapport au cas ukrainien, la dimension numérique y apparaît davantage sous un jour incontournable.
Cette dimension est surtout visible sur une période qui a débuté au printemps 2020. On observe en effet une série importante d’opérations de part et d’autre. Sans entrer dans une narration chronologique qui les inclurait toutes, on peut néanmoins en citer quelques-unes : les opérations menées contre la signalisation ferroviaire ou le service permettant le paiement du carburant à la pompe en Iran en juillet et en octobre 2021, et encore en décembre 2023 (2) ; le sabotage d’une installation industrielle dans une usine sidérurgique du sud de l’Iran en juin 2022 (3) ; la compromission suivie de la divulgation publique de données d’un ensemble de cliniques israéliennes ou d’une application de rencontres en ligne populaire en Israël en septembre 2021 (4). Ces évènements semblent illustrer une série de réponses réciproques au coup par coup, suggérant plusieurs pistes d’interprétations quant aux logiques stratégiques guidant ces opérations.
D’une part, elles pourraient s’inscrire dans une forme de gestion de leur conflit par les deux protagonistes ou leurs agents. Ces actions leur permettraient en effet de tenter de modeler le rapport de forces tout en évitant au maximum les risques d’escalade. À côté et en complément d’opérations « cinétiques », elles seraient ainsi un moyen de maintenir la pression, de chercher éventuellement des failles à exploiter dans une logique de subversion, tout en s’assurant de rester sous un seuil acceptable. C’est le cas par exemple dans l’enchaînement, par ailleurs documenté dans la presse israélienne, entre la découverte d’une tentative d’intrusion sur un système de traitement des eaux en avril 2020 et la paralysie momentanée des infrastructures portuaires de Bandar – Abbas quelques semaines plus tard (5) . D’autre part, on pourrait aussi considérer ces opérations comme une forme de signalement stratégique, ou s’inscrivant dans une telle logique. Elles permettraient de montrer une forme de détermination tout en soulignant les faiblesses structurelles de l’adversaire, qu’il s’agisse de failles sociétales ou de vulnérabilités numériques. Néanmoins, cette analyse trouve une limite importante : elle rationalise a posteriori un ensemble fragmenté d’évènements qui concernent un écosystème d’acteurs aux contours parfois difficiles à délimiter.
En effet, une partie importante des cyberopérations semble le fait d’un petit nombre d’acteurs aux relations difficiles à établir avec les organes décisionnels ou sécuritaires de chacun de ces États. Ainsi, les actions citées plus haut sont souvent revendiquées par des groupes se présentant comme des éléments hacktivistes. C’est le cas par exemple de Predatory Sparrow, dont la communication sur les réseaux sociaux insiste sur la motivation politique (la résistance au régime iranien), mais aussi sur la combinaison entre maîtrise technique et retenue opérationnelle (6). De la même manière, des groupes comme BlackShadow, Cyberav3ngers, ou Moses Staff se targuent d’agir pour s’opposer au gouvernement israélien actuel ou soutenir la cause palestinienne. D’autres, tel Agrius, ont tout de cybercriminels. Pour autant, on ne saurait être dupe de ces affiliations. La présence des « hacktivistes » dans la plupart des conflits contemporains ne doit pas simplement à un regain de la mobilisation de la société civile en ligne, mais aussi à l’élaboration de réseaux complexes par des acteurs gouvernementaux. Il existe donc au minimum un lien permettant d’établir la convergence entre leurs opérations et les intérêts sécuritaires ou stratégiques des deux gouvernements. Même si la question de leur contrôle et de leur maîtrise reste posée, ces architectures indiquent bien l’existence d’écosystèmes de cyberopérations où services de renseignement, entreprises privées et groupes de hackers entretiennent des liens importants, qu’il s’agisse de partager des capacités ou de sous – traiter tout ou partie de la chaîne opérationnelle.
Un enseignement fondamental porte sur l’efficacité et les conséquences des opérations numériques. Deux phénomènes peuvent être dégagés. En premier lieu, les cibles visées montrent des évolutions importantes quant aux représentations stratégiques potentielles des acteurs. En effet, après les actions contre les infrastructures critiques en 2020 (système de traitement des eaux et infrastructures portuaires), les opérations se sont déportées contre la société civile (perturbation de la distribution d’essence et de la circulation ferroviaire, expositions de données personnelles, voire intimes). Cela suggère peut – être une volonté de désescalade dans une perspective où les cibles « molles » que sont les individus ou les populations civiles seraient finalement moins problématiques que les services essentiels. Or le ciblage et la victimisation de la société civile sont problématiques d’un point de vue juridique, mais ils participent aussi d’une réalité souvent peu observée de la conflictualité numérique. En second lieu, cela traduit peut – être également une conception un peu naïve issue de la transposition de concepts stratégiques vers le cyber-
espace : celle qui consiste à exercer un effet de levier sur la société civile à des fins de déstabilisation (décrédibilisation de la fonction sécuritaire du gouvernement, mise à nu des vulnérabilités tant à l’échelle nationale que pour les individus) ou de coercition (pression sur les autorités).
Néanmoins, l’ensemble de ce qui précède mérite d’être remis en question. Et tout d’abord parce que ces observations supposent une rationalité unitaire de la part des acteurs étatiques et de leurs éventuels proxys. Plutôt qu’une logique stratégique cohérente, il est peut – être plus opportun de considérer les cyber-
opérations du point de vue de ceux qui les exécutent. Les logiques opérationnelles d’une part – qui dictent les opportunités, mais aussi les contraintes du champ d’action – ainsi que les logiques organisationnelles et bureaucratiques d’autre part – qui influencent la cohérence interne des opérations – invitent à relativiser la représentation qui ressort des lignes précédentes. Dit autrement, la conflictualité numérique relèverait d’une logique imposée par sa propre grammaire : des acteurs poursuivant leurs buts propres, désireux avant tout de se distinguer en faisant connaître à grand renfort de publicité leurs supposés exploits. Or, dans ce domaine, il y a loin de la coupe aux lèvres. Ce qui pose la question du niveau de maturité des cyberopérations (au moins pour les acteurs considérés). Quels effets stratégiques en ont-ils découlé ? Ont-ils été significatifs en eux – mêmes (ou combinés éventuellement avec d’autres modes d’action, à l’instar des groupes pro – iraniens qui accompagnent le piratage d’opérations d’influence sur les réseaux sociaux) ? Cette question est essentielle, car elle permet aussi de distinguer entre la réalité d’une « activité cyber » intense dans un contexte de compétition ou de conflit et l’utilité stratégique plutôt faible qui en résulte. En retour, cela doit nous inciter à opérer une distinction plus fine entre les écosystèmes d’acteurs et leur appréhension différente des opérations numériques.
Notes
(1) Voir notamment Robert Chesney et Max Smeets (dir.), Deter, Disrupt or Deceive : Assessing Cyber Conflict as an Intelligence Contest, Georgetown University Press, Washington 2023 ; Lennart Maschmeyer, Subversion : from Covert Operations to Cyber Conflict, Oxford University Press, New York, 2024 ; Erica Lonergan et Shawn Lonergan, Escalation Dynamics in Cyberspace, Oxford University Press, New York, 2023.
(2) J. D. Work, « Balancing on the rail – considering responsibility and restraint in the July 2021 Iran railways incident », Offensive Cyber Working Group, 26 septembre 2021 ; Jeff Stone, « Iranian state media blames hack for apparent fuel shortage, the latest incident to draw attention », Cyberscoop, 26 octobre 2021 ; Elias Grol, « Israel-linked hacking group claims attack on Iranian gas pumps », Cyberscoop, 18 décembre 2023.
(3) A. J. Vicens, « Hacktivists claiming attack on Iranian steel facilities dump tranche of “top secret documents” », Cyberscoop, 7 juillet 2022.
(4) A. J. Vicens, « Hack-and-leak group Black Shadow keeps targeting Israeli victims », Cyberscoop, 6 décembre 2021.
(5) Ronen Bergman et David Halfinger, « Israel Hack of Iran Port Is Latest Salvo in Exchange of Cyberattacks », The New York Times, 19 mai 2020.
(6)Voir le papier d’Andy Greenberg, « How a Group of Israel-Linked Hackers Has Pushed the Limits of Cyberwar », Wired, 25 janvier 2024.
Stéphane Taillat