Le groupe Handala passe au ransomware dans sa cyberguerre contre Israël

Handala ne se contente plus de taguer des sites web pour la gloire. Depuis 2024 et surtout l’été 2025, le collectif pro-palestinien revendique une vraie cyber-guerre contre des cibles israéliennes, avec du ransomware, des fuites de données, des messages de masse et des opérations psychologiques bien ficelées. Pas juste « on a mis un drapeau sur une page d’accueil ». Là, on parle d’argent, de pression, et de peur organisée.

Le truc, c’est que la signature Handala est devenue un symbole à part entière. Le nom vient d’un personnage créé en 1969 par le caricaturiste palestinien Naji al-Ali, un gamin réfugié de 10 ans. En 2025, cette icône se retrouve collée à des attaques informatiques revendiquées sur Telegram, avec un récit politique assumé et une stratégie qui vise autant la technique que la perception.

Handala, du symbole de Naji al-Ali au label cyber

Handala, à la base, c’est un dessin. Un enfant pieds nus, de dos, figé à l’âge de 10 ans. Son créateur, Naji al-Ali, expliquait que c’était l’âge auquel il a quitté la Palestine en 1948. Le personnage naît dans la presse koweïtienne à la fin des années 1960, et il devient une icône de la résistance palestinienne. Jusque-là, on est dans le culturel, dans le politique, dans le symbole.

En 2025, ce symbole sert de drapeau à un acteur cyber. Et ce choix n’a rien d’innocent. Des analystes israéliens décrivent une forme de « blanchiment d’identité »: tu prends une figure populaire, tu la transformes en marque, et tu t’en sers pour donner une légitimité émotionnelle à des opérations offensives. Résultat, tu ne vends pas juste une attaque, tu vends une histoire, une cause, un camp.

Techniquement, Handala est décrit comme un collectif décentralisé, avec des campagnes qui mélangent DDoS, défacements et opérations de fuite. Ce cocktail, on le voit depuis 2022 dans plusieurs mouvements hacktivistes, mais Handala a un cran au-dessus dans le storytelling. Chaque revendication est emballée, commentée, parfois mise en scène avec des captures, des vidéos, des messages politiques. Tu lis ça comme un communiqué de guerre, pas comme un post de geek.

Et ça pose une question simple: qui est derrière le masque? Côté israélien, certains acteurs de la cyber-intelligence affirment que Handala opère sous l’ombre portée des Gardiens de la Révolution iraniens, dans une logique de campagne d’influence planifiée. D’autres insistent sur l’aspect mouvant, opportuniste, typique des collectifs qui vivent sur Telegram. Dans les deux cas, l’effet est le même: Handala existe, frappe, et occupe l’espace médiatique.

Été 2025, 18 entreprises israéliennes dans le viseur

Ce qui fait basculer Handala dans une autre catégorie, c’est la séquence de l’été 2025. Un CERT a observé une escalade des attaques contre Israël, avec une dominante de DDoS revendiqués en ligne, souvent sur Telegram, et un objectif clair: déstabiliser, saturer, humilier. Dans ce bruit de fond, Handala se distingue par des attaques plus lourdes, plus coûteuses, plus « corporate » dans les dégâts.

Entre le 14 juin et le 6 juillet, Handala est présenté comme particulièrement virulent, avec le ciblage de 18 entreprises israéliennes. Là, on n’est plus sur « le site est lent pendant deux heures ». Le ransomware, c’est une prise d’otage numérique: chiffrement, menace de publication, pression sur l’activité. Et quand tu touches des boîtes, tu touches aussi des salariés, des fournisseurs, des clients. C’est du concret, pas un duel abstrait.

Un vieux réflexe de terrain, quand tu couvres ce genre de séquence: regarde le rythme. Les dates rapprochées, les revendications en série, ça sert à créer une impression d’inévitabilité. Même si toutes les attaques ne sont pas confirmées publiquement, l’accumulation fait le boulot psychologique. Un analyste cyber français me disait récemment, en off, « dans ces campagnes, la moitié de la puissance vient du récit ». Du coup, tu as une bataille de preuves, de captures, de « regardez ce qu’on a pris ».

Autre point important: la cyber-escalade est décrite comme s’intensifiant après le 22 juin, quand les États-Unis frappent trois sites nucléaires iraniens dans l’opération Midnight Hammer. Dans les stats relevées, Israël puis les États-Unis deviennent les principales victimes du mois de juin. Ce n’est pas une ligne droite « attaque = riposte », mais le calendrier, lui, raconte quelque chose.

Ransomware et SMS, l’exemple du kibbutz Ma’agan Michael

Le cas qui parle à tout le monde, c’est l’attaque revendiquée contre le kibbutz Ma’agan Michael. Le 15 juin 2024, Handala affirme avoir mené une opération de ransomware, avec exfiltration de données et une campagne de messages pour mettre la pression. Là, on sort du fantasme « ils piratent des ministères » pour entrer dans une réalité plus dérangeante: des structures civiles, ancrées dans le quotidien, peuvent se retrouver prises en étau.

Le groupe revendique 22GB de données exfiltrées et plus de 5 000 SMS d’avertissement envoyés. Ce détail des SMS est crucial, parce qu’il vise les gens, pas juste les serveurs. Tu peux avoir les backups les plus propres du monde, si tes employés reçoivent des menaces sur leur téléphone, tu as un problème de climat interne. Et c’est exactement le but: créer une sensation d’exposition permanente.

Les descriptions disponibles évoquent des méthodes de type phishing et l’usage de malwares capables d’obfuscation, pour compliquer l’analyse. Rien de magique, mais suffisamment sophistiqué pour passer les premières barrières dans des organisations qui ne vivent pas avec une équipe SOC 24/7. Et c’est ça, le nerf de la guerre: une bonne partie des victimes potentielles n’a pas le niveau de défense d’un ministère ou d’un géant de la tech.

Handala aurait aussi moqué les capacités de cybersécurité associées à l’écosystème israélien, en s’attaquant au récit « Start-up Nation ». Perso, c’est là que je nuance: frapper un kibbutz, c’est peut-être « efficace » médiatiquement, mais ça brouille la frontière entre cible stratégique et cible civile. Et quand tu banalises ça, tu ouvres une porte dont personne ne contrôle vraiment la suite, ni dans un camp ni dans l’autre.

MyCity, Telegram et la guerre des preuves

Handala ne joue pas seulement sur le chiffrement et la fuite, il joue aussi sur la confiance. Un épisode rapporté autour de l’application mobile MyCity illustre bien le truc: un message contenait un lien de téléchargement vers cette appli, présentée comme un outil de gestion de crise pour des autorités locales. L’incident a été confirmé comme une cyberattaque par des médias israéliens, et Handala a revendiqué le coup le 3 juin.

Ce genre d’opération, c’est de la manipulation de canal. Tu ne cherches pas forcément à casser une infra, tu cherches à faire cliquer. Et dans une période tendue, avec des alertes, des consignes, des applis « officielles », le terrain est parfait pour le social engineering. Tu colles un vernis de service public, tu joues sur l’urgence, et tu récupères des accès, des infos, ou juste un chaos de plus.

Ce qui est intéressant, c’est la façon dont Handala revendique. D’après des analyses, le groupe fournit parfois des preuves partielles, des extraits, une vidéo courte, puis laisse entendre qu’il y a « plus » sans tout montrer. C’est une technique classique: tu maximises la peur, tu minimises le risque de te faire contredire. Et tu restes au centre de la conversation, même quand les faits complets ne sortent pas.

Telegram est le carburant de cette mécanique. Les revendications, les captures, les « preuves », tout circule vite, se copie, se remix. Du coup, tu te retrouves avec une guerre de narration: les défenseurs disent « c’est exagéré », les attaquants disent « on a tout », et le public retient surtout qu’il y a une brèche possible. Pour une organisation visée, la crise devient autant médiatique que technique.

Pourquoi Israël et les États-Unis se retrouvent en tête des victimes

Dans les données observées sur juin, Israël puis les États-Unis ressortent comme principales victimes du mois. Ça ne veut pas dire que tout est signé Handala, loin de là. On parle d’un écosystème où environ 80 groupes se revendiquent pro-Iran, avec des noms qui changent, fusionnent, disparaissent, reviennent. Mais Handala fait partie des acteurs qui donnent le tempo, parce qu’il mixe impact et communication.

Les attaques ne se limitent pas aux infrastructures « dures ». Les médias sont aussi ciblés, parce que faire tomber un site d’info, même brièvement, c’est un message. Un exemple documenté dans cette période: un groupe revendique un DDoS contre le média israélien Israël. com le 13 juin à 22 heures. Ce n’est pas Handala, mais ça montre le décor: une pluie d’actions revendiquées, calibrées pour faire du bruit et saturer l’attention.

Le contexte géopolitique ajoute une couche. Après l’opération américaine Midnight Hammer du 22 juin, la montée en puissance des attaques s’inscrit dans une logique de riposte élargie, au moins dans le récit des attaquants. Certains groupes visent aussi des entités américaines parce qu’ils considèrent les États-Unis comme alliés d’Israël, donc comme cibles légitimes. Là encore, le cyber devient une extension du discours politique, avec des cibles « symboliques ».

Et il y a un dernier volet, plus inquiétant: des analyses israéliennes évoquent des tentatives plus « chirurgicales » visant l’échelon décisionnel. Pas juste du bruit, mais des efforts pour toucher des cercles d’aides, de conseillers, de gens proches du pouvoir. Si tu arrives à ça, même sans tout réussir, tu changes la posture de sécurité d’un pays entier. Plus de parano, plus de filtres, plus de contrôle, et au passage plus de risques d’erreurs humaines. C’est souvent là que les attaquants marquent des points.