L’Iran monte en puissance dans la cyberguerre et vise de nouvelles cibles

28 février 2026. Des frappes attribuées aux États-Unis et à Israël, et dans la foulée, le conflit se déplace sur un autre terrain. Le cyber. Sites gouvernementaux qui tombent, médias perturbés, messages qui surgissent là où tu ne les attends pas. Dans ce bazar, l’Iran prépare sa riposte, mais personne ne lit vraiment la même carte. Les acteurs se superposent, les objectifs aussi.

Le truc, c’est que la plupart des attaques observées restent à un niveau faible à intermédiaire. Beaucoup de déni de service, de la perturbation, du symbole. Pendant ce temps, le régime joue une autre partition, plus terre à terre: couper Internet pour étouffer la circulation d’infos. Entre escalade réelle et brouillard géopolitique, tu as un second front qui avance, parfois à l’aveugle, mais jamais au hasard.

Le 28 février, les serveurs iraniens prennent aussi des coups

Le matin du 28 février, pendant que les frappes font la une, une offensive numérique d’ampleur vise des infrastructures médiatiques et institutionnelles en Iran. Des plateformes deviennent inaccessibles, des services se grippent, et l’effet recherché est clair: créer du désordre au bon moment. Ce n’est pas forcément « le grand hack » hollywoodien. C’est plutôt la version pragmatique: tu ralentis, tu perturbes, tu obliges l’adversaire à regarder partout.

Un indicateur a frappé les observateurs: la connectivité nationale aurait chuté à 4 %. C’est massif. Et quand ça arrive, tu ne parles plus seulement de sites lents. Tu parles d’un pays qui perd une partie de ses canaux numériques, au moins temporairement. Dans ce contexte, des attaques par déni de service distribué ont été pointées comme cause probable pour rendre inaccessibles plusieurs sites gouvernementaux et des plateformes médiatiques.

Il y a aussi le cas de l’agence de presse officielle IRNA, qui a confirmé que son site en persan avait été compromis après la publication d’un article hostile au régime. Ce détail dit beaucoup: les médias ne sont pas un dommage collatéral, ils sont une cible. Quand tu touches l’info, tu touches la perception. Et dans une crise, la perception, c’est la moitié de la bataille. Sauf que ça ouvre aussi la porte à la parano et aux représailles.

Un prof sud-coréen, Yeom Heung-yeol, résume bien pourquoi ce front plaît aux États et à leurs alliés: tu peux « paralyser l’administration et l’économie » sans déployer de troupes. Et comme l’attribution est compliquée, le coût politique baisse. Résultat, tu obtiens un outil qui fait mal, qui reste ambigu, et qui s’insère pile entre la guerre ouverte et la pression clandestine. C’est exactement l’espace où tout le monde se sent pousser des ailes.

Gary Barlet: l’Iran, « deuxième rang », et beaucoup de DDoS

Dans les discussions d’experts, l’Iran est souvent décrit comme un acteur solide, mais pas au niveau de la Chine ou de la Russie. Gary Barlet, chez Illumio, le formule sans détour: plutôt « catégorie supérieure du deuxième rang », comparable à la Corée du Nord. Ce n’est pas une insulte, c’est une grille de lecture. Ça veut dire: capable, dangereux, mais pas forcément ultra-sophistiqué sur chaque opération.

Ce qui ressort, c’est une approche opportuniste. Beaucoup d’attaques par déni de service, des activités « relativement peu sophistiquées ». Dit autrement: on cherche la perturbation rapide, la démonstration de nuisance, la pression psychologique. Dans une séquence de tension militaire, ça colle parfaitement. Tu n’as pas besoin de brûler un zero-day rarissime si ton objectif est de faire tomber un site de ministère pendant quelques heures et d’alimenter le récit d’une riposte.

Le niveau « faible à intermédiaire » ne veut pas dire inoffensif. Un DDoS bien placé, au mauvais moment, peut suffire à bloquer des démarches, saturer des canaux d’alerte, ou forcer des équipes à passer en mode panique. Et surtout, ça crée du bruit. Les défenseurs courent après des symptômes, pendant que d’autres acteurs testent des accès, cartographient, observent les réactions. La cyber, c’est aussi un sport de patience.

Nuance quand même: à force de ne regarder que la sophistication, tu rates le point central. L’effet recherché est autant symbolique qu’opérationnel. Montrer qu’on peut frapper, même « simplement », et maintenir une pression informationnelle. Du coup, le vrai risque n’est pas seulement l’attaque brillante. C’est l’accumulation d’actions moyennes, répétées, qui épuisent les équipes et banalisent l’idée que tout est attaquable, tout le temps.

Les hacktivistes pro-Iran, pas touchés par les frappes

On a tendance à se focaliser sur l’État, les Gardiens de la révolution, les services de renseignement. Sauf que, dans ce dossier, les groupes hacktivistes qui soutiennent l’Iran comptent aussi. Gary Barlet insiste sur ce point: eux ne sont « pas nécessairement affectés par les frappes » et peuvent voir la situation comme une opportunité de contribuer. C’est le genre d’acteur qui complique tout, parce qu’il brouille l’intention et la chaîne de commandement.

Concrètement, un hacktiviste n’a pas besoin d’un budget d’État pour lancer des opérations de nuisance. Il lui faut des outils, des cibles, un narratif. Et en période de crise, le narratif, tu l’as en open bar. Le risque, c’est la surenchère: chaque camp veut prouver qu’il agit, qu’il pèse, qu’il « répond ». Tu te retrouves avec des attaques qui partent dans tous les sens, parfois sans coordination, parfois au contraire avec des clins d’il à des intérêts étatiques.

Ce mélange rend l’attribution encore plus casse-gueule. Quand une attaque tombe, tu dois te demander: action étatique, groupe affilié, opportunistes qui profitent du chaos, ou contre-attaque déguisée? Et pendant que tu hésites, la fenêtre médiatique se referme. Dans un conflit, l’ambiguïté est une arme. Le cyber adore ça. Les décideurs, eux, détestent, parce qu’ils doivent réagir sans certitude.

Il y a aussi un aspect très « guerre d’images ». Des piratages ont servi à envoyer des messages en persan, massivement, appelant civils et militaires à la résistance, et incitant les forces de répression à déposer les armes. L’origine était incertaine, et c’est presque le plus important. Quand tu peux injecter un message politique dans des canaux inattendus, tu touches la cohésion, la confiance, la peur. C’est de la pression psychologique à coût réduit.

Coupures Internet: 90 heures dans le noir numérique

Dans cette séquence, la riposte ne passe pas seulement par des attaques. Elle passe aussi par une mesure brutale: couper Internet. En Iran, le régime a décidé de bloquer la circulation des informations, y compris vers l’international. La coupure a duré plus de 90 heures, près de quatre jours, avec un accès au Web et aux réseaux sociaux devenu impossible pour une grande partie de la population. Quand tu fais ça, tu changes les règles du jeu.

NetBlocks, qui surveille la connectivité, a documenté des chutes spectaculaires. Et un chercheur de l’Ifri, Paul Wohrer, rappelle que c’est une technique développée depuis des années, apprise « petit à petit » depuis 2019. Au début, c’était plus brutal, avec des effets collatéraux importants. Aujourd’hui, c’est plus maîtrisé. Ça veut dire que l’État a investi dans sa capacité à isoler le pays, à filtrer, à segmenter.

Le paradoxe est presque cynique: le Guide suprême publie une quinzaine de messages sur X, pendant que la population, elle, n’y a pas accès. Wohrer parle d’un « trou noir numérique ». Pour toi, utilisateur, ça se traduit par une sensation de claustrophobie. Pour le pouvoir, c’est un levier de contrôle. Tu réduis la coordination, tu empêches les images de sortir, tu ralentis les récits concurrents. Et tu compliques aussi le travail des médias.

Sauf que ça ne ferme pas tout. Des vidéos très rares ont quand même circulé, possiblement via des satellites géostationnaires ou via Starlink. Et parfois, « une ou deux vidéos » suffisent à provoquer une indignation internationale. C’est précisément ce que le régime cherche à éviter: laisser la population dans le noir, mais aussi le reste du monde. Le cyber n’est pas que l’attaque. C’est aussi l’interrupteur.

Le cyber comme « second front »: l’exemple Ukraine dans toutes les têtes

Ce qui se joue autour de l’Iran illustre un basculement déjà vu ailleurs: les serveurs et les données deviennent des cibles aussi critiques que des bases militaires. Des experts rappellent que la Russie, avant l’invasion de l’Ukraine en 2022, avait déjà ciblé des réseaux gouvernementaux et des infrastructures numériques. La logique est la même: préparer, affaiblir, semer le doute, puis frapper sur plusieurs plans. C’est la guerre moderne, version multipistes.

Dans le cas iranien, on voit ce « second front » prendre une forme très hybride. D’un côté, des attaques de nuisance, DDoS, perturbations de médias. De l’autre, une stratégie de contrôle interne par la coupure. Ajoute à ça des messages de propagande injectés via des piratages, et tu as un cocktail qui vise autant l’État que la société. Ce n’est pas seulement « faire tomber un site », c’est jouer sur la capacité d’un pays à se raconter.

La difficulté d’attribution réduit les coûts politiques, c’est vrai, mais ça rend aussi l’escalade plus probable. Quand tu n’es pas sûr de qui t’a frappé, tu peux répondre trop fort, au mauvais acteur, ou au mauvais endroit. Et là, tu changes d’échelle. C’est pour ça que les attaques « faibles à intermédiaires » ne rassurent pas tant que ça. Elles peuvent être le bruit de fond d’une montée en tension, pas une limite.

Si tu bosses dans une organisation, publique ou privée, la leçon est assez froide: en période de crise géopolitique, tu peux devenir une cible par ricochet. Médias, plateformes, services administratifs, tout ce qui porte un symbole ou un usage collectif attire les projecteurs. Et quand l’Internet lui-même peut être coupé pendant 90 heures, tu comprends que la résilience ne se limite pas à un pare-feu. Elle se joue aussi sur les canaux alternatifs, la continuité, et la capacité à informer sans dépendre d’un seul réseau.