Nobitex, la plus grande plateforme d’échange de cryptomonnaies en Iran, a subi un piratage massif hier, entraînant la destruction de plus de 90 millions de dollars d’actifs numériques. L’attaque a été revendiquée par Predatory Sparrow, un groupe de cyberpirates pro-israélien déjà connu pour avoir orchestré certaines des cyberattaques les plus destructrices de ces dernières années. Dans un contexte de tensions croissantes entre l’Iran et Israël, cette offensive pourrait annoncer d’autres attaques potentiellement sérieuses contre des infrastructures critiques iraniennes.
Fondé en 2021, Predatory Sparrow — connu en farsi sous le nom de « Gonjeshke Darande » — est considéré comme l’un des groupes de cyberguerre les plus redoutables et méthodiques au monde. Il est largement soupçonné d’entretenir des liens étroits avec les services de renseignement israéliens ou les forces armées du pays. Depuis plusieurs années, l’Iran figure au centre de ses opérations, ciblé par des attaques méticuleusement planifiées.
La stratégie du groupe repose sur des offensives visant les infrastructures névralgiques. Il s’en est notamment pris au réseau ferroviaire iranien en effaçant des données sensibles, et a à deux reprises neutralisé les systèmes de paiement de milliers de stations-service, provoquant des pénuries de carburant à l’échelle nationale.
L’un des assauts les plus marquants demeure celui mené en 2022 contre l’industrie sidérurgique de Khouzestan. En piratant les systèmes de contrôle, les assaillants avaient alors provoqué le déversement d’acier en fusion sur le sol de l’usine, déclenchant un incendie et exposant les ouvriers à un risque extrême. Une vidéo, publiée sur la chaîne YouTube du groupe, en documente les conséquences spectaculaires — un épisode dont la véracité, bien que relayée par certaines sources, demeure difficile à vérifier de manière indépendante.
Alors que les frappes militaires se poursuivent entre les deux pays, Predatory Sparrow semble désormais diriger ses attaques vers les institutions financières iraniennes. Hier, la plateforme de cryptomonnaies Nobitex a été la cible d’une attaque d’ampleur. Les pirates l’ont accusée d’être un vecteur de financement du terrorisme pour le régime de Téhéran, ainsi que d’avoir contribué au contournement des sanctions internationales.
« Ces cyberattaques sont le résultat du fait que Nobitex est un outil clé du régime pour financer le terrorisme et violer les sanctions », ont écrit les assaillants sur X. « S’associer aux infrastructures de financement du terrorisme et de violation des sanctions du régime met vos actifs en danger », ont-ils averti, revendiquant ainsi l’attaque comme un acte punitif.
Cet épisode fait suite à une offensive précédente visant la banque iranienne Sepah. Les pirates ont affirmé avoir détruit l’intégralité des données de la banque, en représailles à ses liens supposés avec le Corps des gardiens de la révolution islamique (GRI). Ils ont également diffusé des documents qui laisseraient entrevoir des accords financiers entre l’institution bancaire et l’armée iranienne.
Plus de 90 millions de dollars d’actifs détruits
Selon la société de traçage de cryptomonnaies Elliptic, l’attaque contre Nobitex a abouti à la destruction de plus de 90 millions de dollars d’actifs numériques. L’analyse de la blockchain de la plateforme révèle que les fonds ont été transférés vers une série d’adresses cryptographiques commençant toutes par des variantes de l’expression « FuckIRGCterrorists ». Ces adresses, conçues pour rendre les actifs inaccessibles, laissent penser que l’opération n’avait aucune visée financière.
« Les pirates ont clairement des motivations politiques plutôt que financières », explique Tom Robinson, cofondateur d’Elliptic, au magazine Wired. « Les cryptomonnaies volées ont été brûlées », ajoute-t-il. Toujours selon Elliptic, la traçabilité des fonds montre que la plateforme entretient effectivement des relations avec des agents sanctionnés du GRI, du Hamas, des rebelles houthis du Yémen, ainsi que du Jihad islamique palestinien.
« Il s’agit également d’un acte de sabotage, visant une institution financière ayant joué un rôle clé dans l’utilisation des cryptomonnaies par l’Iran pour contourner les sanctions internationales », souligne Robinson.
De nombreux dommages collatéraux
Comme souvent en temps de guerre, les retombées sur la population civile sont nombreuses et difficiles à contenir. Nobitex revendique plus de 10 millions de clients. Depuis l’attaque, le site internet de la société est hors ligne. Dans un communiqué laconique, l’entreprise a indiqué qu’une enquête était en cours et que le site ainsi que l’application resteraient indisponibles pour une durée indéterminée.
Quant à l’attaque contre la Sepah Bank, elle a entraîné des dysfonctionnements étendus des distributeurs automatiques de billets dans plusieurs régions du pays. Selon le rapport de *Wired*, Hamid Kashfi, chercheur iranien en cybersécurité établi en Suède et fondateur de l’entreprise de cybersécurité DarkCell, a recueilli des témoignages faisant état de graves perturbations dans l’accès des civils à leur argent.
« Il y a eu de nombreux dommages collatéraux », confie Kashfi au journal américain. « On a le sentiment que l’objectif est de semer le chaos et la désorganisation. Je ne perçois pas d’autre logique dans cette attaque. Certes, ces institutions fournissent des services à l’armée. Mais elles servent aussi des millions de citoyens ordinaires », ajoute-t-il.
D’autres cyberattaques à venir ?
Les raisons précises pour lesquelles Predatory Sparrow cible désormais le système financier iranien demeurent incertaines. Il est possible que le groupe considère ces institutions comme des rouages essentiels du soutien logistique au conflit en cours. Une autre hypothèse tient à la vulnérabilité persistante de leur cybersécurité, qui en ferait des cibles faciles.
Pour John Hultquist, analyste principal au sein du groupe de renseignement sur les menaces de Google, qui suit les opérations de Predatory Sparrow depuis leurs débuts, la généralisation des cyberattaques dans les conflits contemporains ne fait plus de doute. Mais l’efficacité de ce groupe en particulier constitue, selon lui, un cas à part.
« Predatory Sparrow est un acteur très sérieux et très compétent, ce qui le distingue nettement d’autres groupes dont nous entendrons parler dans les prochaines semaines ou mois », affirme-t-il dans les colonnes de Wired. « Nombreux sont ceux qui profèrent des menaces. Celui-ci a les moyens de les mettre à exécution », conclut-il
Cliquez pour comprendre le fonctionnement des cryptomonnaies en 10 minutes.