Des hackers iraniens se sont introduits dans les réseaux informatiques d'une banque américaine, d'un aéroport, d'organisations à but non lucratif et d'un éditeur de logiciels travaillant pour la défense et l'aérospatiale. Cette intrusion a débuté en février 2026 et s'est poursuivie ces derniers jours.
Le groupe responsable s'appelle Seedworm (aussi connu sous les noms MuddyWater ou Static Kitten). Il s'agit d'une unité rattachée au ministère iranien du renseignement, active depuis 2017. Ces cyberpirates ne sont pas de simples opportunistes : ils travaillent pour un État et mènent des opérations d'espionnage classiques visant à collecter des informations stratégiques.
Qui est Seedworm ?
Seedworm est un groupe de hackers sponsorisé par l'État iranien. Initialement concentré sur le Moyen-Orient, il a progressivement élargi son terrain de jeu pour cibler des organisations dans le monde entier : télécommunications, défense, administrations locales, secteur pétrolier et gazier en Asie, Afrique, Europe et Amérique du Nord.
Ce qui distingue ce groupe, c'est sa capacité à développer ses propres logiciels malveillants tout en utilisant des outils légitimes détournés de leur usage. Cette double approche rend leur détection particulièrement difficile. Ils ne se contentent pas de frapper au hasard : ils s'installent discrètement, observent, et collectent des données sensibles sur le long terme.
Ce qui s'est passé concrètement
Les enquêteurs ont découvert deux portes dérobées (backdoors) inédites sur les réseaux infiltrés. La première, baptisée Dindoor, utilise Deno, un environnement d'exécution pour JavaScript et TypeScript. Elle a été repérée chez l'éditeur de logiciels (notamment ses opérations israéliennes), la banque américaine et l'organisation canadienne à but non lucratif.
La seconde porte dérobée, nommée Fakeset, est programmée en Python. Elle a été trouvée sur les réseaux de l'aéroport américain et d'une autre organisation à but non lucratif. Ces logiciels malveillants étaient signés avec des certificats numériques au nom de « Amy Cherne » et « Donald Gay », ce dernier ayant déjà été utilisé par Seedworm dans le passé.
Les hackers ont également tenté d'exfiltrer des données depuis l'éditeur de logiciels vers un espace de stockage cloud Wasabi, en utilisant l'outil Rclone. On ignore si cette tentative a réussi.
Un contexte explosif
Cette activité cybercriminelle intervient après des frappes aériennes américano-israéliennes en Iran fin février 2026, qui ont notamment causé la mort du Guide suprême iranien, l'ayatollah Ali Khamenei. En représailles, l'Iran a lancé des drones et des missiles sur des cibles israéliennes et américaines dans le Golfe.
Le fait que Seedworm soit déjà installé sur ces réseaux avant le début des hostilités place le groupe dans une position dangereuse pour lancer des attaques destructrices, et pas seulement de l'espionnage.
- Les cyberattaques étatiques ne visent pas que les gouvernements : des entreprises privées (banques, aéroports, éditeurs de logiciels) sont également dans le viseur, surtout si elles travaillent avec des secteurs stratégiques.
- La présence silencieuse est une tactique : ces hackers ne cherchent pas nécessairement à tout détruire immédiatement. Ils s'installent, observent, et attendent le bon moment.
- Les tensions géopolitiques augmentent les risques cyber : quand des conflits éclatent dans le monde physique, le champ de bataille numérique s'active aussi.
- L'Iran dispose de capacités cyber même en cas de coupure Internet locale : des opérateurs travaillent depuis d'autres pays et utilisent des technologies comme Starlink pour maintenir leurs opérations.
Ce type d'affaire semble très loin de notre quotidien. Mais si des banques, des aéroports et des éditeurs de logiciels peuvent être infiltrés, aucune organisation n'est trop petite pour être ciblée, surtout si elle fait partie d'une chaîne d'approvisionnement plus large.
Mettez à jour vos logiciels et applications systématiquement. La majorité des intrusions exploitent des failles connues et corrigées... mais non appliquées.
Formez vos équipes au phishing. Un simple clic sur un mauvais lien peut suffire. Un exercice de sensibilisation annuel n'est pas du luxe.
Surveillez les connexions inhabituelles. Si vous avez un système informatique un tant soit peu critique, investissez dans une surveillance (même basique) des accès et des transferts de données.
Limitez l'exposition de vos services sur Internet. Tout ce qui est accessible depuis l'extérieur est une porte d'entrée potentielle --> Posez-vous la question : est-ce vraiment nécessaire ?
Sources :