Cyberattaque de hackers iraniens contre un site d'hébergement israélien

Le groupe de hackers "Black Shadow", présenté comme lié à l'Iran, a revendiqué samedi sur la messagerie Telegram l'infiltration des serveurs du site d'hébergement israélien Cyberserve et des fuites de données.

La cyberattaque a rendu inaccessibles les sites hébergés sur Cyberserve des entreprises de transports publics Dan et Kavim, desservant l'agglomération de Tel-Aviv, celui du musée des enfants de la ville de Holon et le blog en ligne de la radio publique. Black Shadow a par ailleurs rendu disponible sur Telegram ce qu'il a présenté comme le fichier clients, comprenant les noms, e-mails et numéros de téléphone des usagers de la compagnie Kavim.

"Les premières données sont là (...) Si vous ne nous contactez pas il y en aura d'autres", a mis en garde le groupe de hackers dans un message accompagnant le fichier présumé de la société. Dans la soirée, les hackers ont publié un nouveau message, indiquant qu'ils avaient désormais "davantage de données". Ce message s'est accompagné de fichiers clients présumés de la société de transport Dan, d'une entreprise de voyages organisés et du site de rencontres en ligne Atraf, de la communauté LGBT, rendant potentiellement publics les identités et orientations sexuelles de ses utilisateurs.

Vendredi soir, les hackers avaient envoyé un message sur Telegram alertant Cyberserve de son attaque imminente. "Nous avons des nouvelles pour vous", ont-ils écrit. "Vous ne pouvez probablement pas vous connecter à de nombreux sites ce soir et c'est parce que nous avons ciblé la société Cyberserve et ses clients. Et qu'en est-il des données? Comme d'habitude, nous en avons beaucoup". Selon les médias israéliens citant des experts, Black Shadow est un groupe hacktiviste (contraction de hacker et activiste) anti-israélien qui utilise les techniques de cybercriminalité à des fins financières et idéologiques.

En mars, Black Shadow avait piraté KLS Capital, une société de financement israélienne. En décembre 2020, le groupe avait également infiltré la société d'assurance israélienne Shirbit, dérobant de grandes quantités de données sur les serveurs de l'entreprise avant d'exiger une rançon de près d'un million de dollars et de divulguer progressivement une grande partie des données.

L'attaque de samedi intervient alors que l'Iran a été la cible mardi d'une cyberattaque inédite par son ampleur, qui a paralysé la distribution de carburant à travers le pays. Même si les auteurs n'ont pu être identifiés à ce stade et que l'agence iranienne Fars a pointé du doigt les opposants au régime iranien, Israël, ainsi que les Etats-Unis, figurent parmi les suspects.

En septembre 2010, le virus Stuxnet avait frappé le programme nucléaire iranien, entraînant une série de pannes dans le parc de centrifugeuses utilisées pour l'enrichissement de l'uranium. Depuis Stuxnet, l'Iran d'un côté, Israël et les Etats-Unis de l'autre, s'accusent régulièrement de cyberattaques.