Israël affirme avoir frappé un complexe stratégique à Téhéran abritant le quartier général de la cyberguerre iranienne et plusieurs structures de renseignement. L’opération s’inscrit dans une campagne plus large mêlant frappes conventionnelles et actions cybernétiques.
Une frappe ciblant l’écosystème cyber du CGRI
L’armée israélienne a annoncé avoir bombardé un complexe situé sur le front oriental iranien, identifié comme un centre névralgique du dispositif cyber et de renseignement de Téhéran. Selon Tsahal, sept entités majeures y étaient présentes, dont le quartier général du Corps des gardiens de la révolution islamique (CGRI), le département chargé de la cyberdéfense et des opérations électroniques, ainsi que la Direction du renseignement.
Cette installation représenterait un point de coordination central pour les opérations de cyber-renseignement iraniennes. Les unités liées au CGRI sont régulièrement associées à des campagnes d’intrusion contre des infrastructures critiques, des organisations régionales et des processus électoraux étrangers. Washington avait notamment identifié des cyber-opérateurs iraniens impliqués dans des tentatives d’ingérence visant l’élection présidentielle américaine de 2024.
D’un point de vue cyber-opérationnel, la destruction d’un site physique peut perturber les chaînes de commandement ou les équipes techniques. Toutefois, les opérations cyber étatiques modernes reposent généralement sur des infrastructures distribuées, des relais externes et des opérateurs capables d’agir à distance comme on a pu le voir avec le groupe pro russe NoName(057)16.
Une panne internet massive qui perturbe davantage les opérations
Les analystes observent qu’un autre facteur pourrait avoir un impact bien plus significatif sur les capacités cyber iraniennes. Après les frappes américano-israéliennes du 28 février 2026, la connectivité internet iranienne a chuté entre 1 et 4 % de son niveau normal. Cette panne quasi totale s’est prolongée pendant plus de 120 heures.
Cette perturbation ne provient pas uniquement de destructions physiques. Elle résulte d’une opération combinant frappes conventionnelles et actions cyber visant l’infrastructure de communication du pays.
Pour les groupes de menaces persistantes avancées (APT) opérant depuis le territoire iranien, cette situation réduit fortement les capacités de commandement et de contrôle. Les équipes cyber nationales dépendent en effet d’un accès stable à internet pour piloter leurs infrastructures d’attaque, exfiltrer des données ou coordonner des opérations complexes comme a pu le faire le groupe Handala.
Cependant, cette contrainte reste relative. De nombreux acteurs étatiques disposent d’infrastructures situées à l’étranger, de serveurs relais ou d’accès compromis dans des réseaux tiers. Ces ressources permettent de poursuivre certaines opérations même en cas de dégradation de la connectivité domestique. Cette panne internet actuelle affecte davantage la coordination des opérations que la capacité offensive elle-même.
News & alertes actualités cyber
Enquêtes, cyberveille, fuites, actu sécurité : recevez nos informations cyber là où vous êtes, chaque vendredi midi.
Des implants déjà présents dans les réseaux ciblés
Un élément particulièrement surveillé par les analystes concerne les capacités prépositionnées. Plusieurs groupes liés à l’État iranien avaient implanté des accès dans des réseaux étrangers avant le début des frappes. Handal, et ses partisans (MuddyWater, Prince of Persia ou encore IHG), par exemple, ont mené des attaques de type wiper contre des cibles israéliennes avant l’offensive du 28 février. Ce type de code malveillant vise à effacer ou détruire des données de manière irréversible. L’existence de ces implants suggère que certaines opérations destructrices pourraient être déclenchées ultérieurement, sans nécessiter de nouvelles communications directes depuis l’Iran.
Durant le conflit, l’opération technique la plus notable confirmée concerne une campagne de phishing identifiée par les chercheurs de l’Unit 42 de Palo Alto Networks. Les attaquants ont diffusé une version malveillante de l’application israélienne d’alerte antimissile RedAlert. Ce malware Android collecte plusieurs catégories d’informations sensibles, notamment les contacts, l’historique des appels, les SMS, les identifiants d’appareil et certaines données de compte. Les informations sont ensuite chiffrées avant d’être exfiltrées vers une infrastructure contrôlée par les attaquants. Un cheval de Troie classique, mais d’autant plus efficace lors d’un conflit.
L’explosion des hacktivistes pro-iraniens, pro-russes et… Indonésiens !
Depuis les frappes, l’activité cyber observable est dominée par des groupes hacktivistes plutôt que par des opérations étatiques avancées. Plus de 70 collectifs étaient actifs au 3 mars 2026. ZATAZ pense qu’il s’agit surtout du même groupe (ou même personne) qui signait il y a encore peu sous les pseudos IHG ou IH87. ZATAZ note aussi la présence (trés forte) de groupes de pirates informatiques Indonésiens. Une dizaine de pirates surtout présents dans des cyber attaques de type barbouillage.
Il y a un décalage important entre ces revendications et les capacités réelles connues des unités « cyber ». Les opérations observées restent majoritairement opportunistes et peu destructrices comme le montre les captures écrans de ZATAZ.
Un phénomène stratégique attire cependant l’attention des services de renseignement. Plusieurs groupes hacktivistes pro-russes, dont NoName057(16), ont réorienté leurs campagnes vers des cibles israéliennes afin de soutenir l’Iran.
Cette convergence entre écosystèmes hacktivistes, parfois issus de sphères idéologiques différentes, pourrait maintenir un niveau d’activité élevé même en l’absence d’opérations étatiques directes.
Frapper un siège ne neutralise pas une capacité cyber
Une organisation cyber étatique ne dépend pas d’un bâtiment unique. Les opérations reposent sur des infrastructures distribuées, des canaux chiffrés et des relais situés dans plusieurs juridictions.
Dans ce contexte, la destruction d’un quartier général peut ralentir temporairement la coordination interne. Elle ne supprime pas nécessairement les capacités opérationnelles.
Le Centre national britannique de cybersécurité estime d’ailleurs qu’aucune évolution majeure de la menace iranienne n’est actuellement observée contre le Royaume-Uni. L’organisme souligne toutefois un risque indirect accru pour les organisations opérant au Moyen-Orient ou dont la chaîne d’approvisionnement y est liée.
Pour les analystes, la phase actuelle correspond davantage à une phase d’anticipation qu’à une campagne cyber destructrice à grande échelle. L’écart entre l’activité observée et les capacités connues des acteurs étatiques demeure un indicateur clé à surveiller.
L’impact réel de la frappe israélienne contre le quartier général de la cyberguerre iranienne pourrait n’apparaître que dans plusieurs semaines. Les chercheurs en sécurité analyseront notamment si les campagnes APT iraniennes reprennent leur rythme habituel ou si les perturbations actuelles entraînent une dégradation durable de la posture cyber offensive de Téhéran.
