Opération Cleaver
Un groupe iranien s’est silencieusement enfoui dans des compagnies aériennes, des énergéticiens, des télécoms et un sous-traitant militaire américain, cartographiant le genre de cibles dont un État voudrait garder la clé.
En décembre 2014, la société de sécurité Cylance publie un rapport sur une campagne d’intrusion pluriannuelle qu’elle nomme Opération Cleaver. Les cibles couvrent plus de cinquante organisations dans seize pays — compagnies aériennes, producteurs de pétrole et de gaz, infrastructures de transport, sous-traitants de la défense, et au moins un sous-traitant de base aérienne militaire américaine. Les opérateurs sont iraniens.
Un pivot de la défense à l’offensive
Cleaver est important en partie pour ce qu’elle implique de la trajectoire iranienne. Jusque-là, le reporting public sur l’activité cyber iranienne se concentrait sur des incidents comme Shamoon — wipers destructifs, à visée de représailles. Cleaver décrit autre chose : un accès patient, de longue durée, dans des systèmes dont les détails opérationnels seraient utiles lors d’une crise future.
Le rapport nomme des opérateurs individuels par pseudonyme, remonte l’infrastructure jusqu’à un sous-traitant basé à Téhéran, et présente un corpus de preuves forensiques qui définit un nouveau palier de capacité iranienne. Le profil des cibles — en particulier l’inclusion des compagnies aériennes et de bases aériennes — suggère une intention de maintenir des points d’ancrage dans des systèmes du monde physique, pas seulement de voler des documents.
La chaîne en aval
Plusieurs acteurs nommés dans Cleaver réapparaissent dans des actes d’accusation et des reportages ultérieurs sous d’autres étiquettes de groupe (APT33, APT34, et d’autres). L’existence de la campagne a aidé à remodeler la posture des gouvernements occidentaux envers l’Iran dans le cyberespace, accéléré le partage d’informations sur le savoir-faire iranien, et influencé la manière dont les opérateurs énergétiques du Golfe abordaient leur propre supervision réseau.
Ce que la chronique retient
Cleaver a fait passer l’Iran, dans l’imaginaire des analystes, d’un État doté d’une capacité cyber destructive à un État doté d’une capacité d’accès persistant de niveau pair. Le glissement comptait. Les incidents régionaux ultérieurs — et plusieurs paquets de sanctions américaines — ont été cadrés par rapport au socle Cleaver.