Émirats arabes unis : des hackers pro-Iran ont diffusé un faux journal généré par IA

Des pirates informatiques soutenus par l'Iran ont réussi à interrompre les programmes d'une plateforme de diffusion en continu de télévision aux Émirats arabes unis, ont rapporté des analystes de Microsoft dans un rapport publié le 6 février. En lieu et place des émissions habituelles, les abonnés de ce service ont découvert, stupéfaits, un faux journal télévisé "mettant en scène un présentateur apparemment généré par l'IA" qui a lancé un reportage sur la guerre à Gaza. Le tout précédé par cette inscription : "Nous n'avons pas d'autre choix que de pirater pour vous transmettre ce message."

"Je regardais BBC News vers 22 h 30 lorsque le programme a été brusquement interrompu et que des images déchirantes de Palestine sont apparues sur mon écran. J'ai regardé, transi, mon écran se figer et un message du pirate s'est affiché en majuscules sur fond vert. Ce message a été immédiatement suivi d'un bulletin d'information présenté par un présentateur IA. C'était surréaliste et effrayant", décrit un habitant de Dubaï interrogé par le Khaleej Times. "Toutes les chaînes que nous avons consultées affichaient le même contenu", témoigne une autre utilisatrice du service.

À l’écran, décrit le Guardian, le journaliste généré par l’IA s'est mis à "présenter des images non vérifiées qui prétendaient montrer des Palestiniens blessés et tués lors d'opérations militaires israéliennes à Gaza".

Microsoft fait également état de piratages au Canada et au Royaume-Uni, précisant que la BBC faisait partie des chaînes ciblées, mais que le groupe de télévision publique britannique n'a pas été attaqué directement par les hackers.

D’après un rapport consacré aux cyberattaques iraniennes contre Israël émis par le Centre d'analyse des menaces de Microsoft (MTAC), ces perturbations ont eu lieu début décembre et sont l'œuvre de Téhéran.

Selon le Guardian, des analystes de Microsoft attribuent la paternité de la cyberattaque à un groupe connu sous le nom de "Cotton Sandstorm", qui n'en est pas à son coup d'essai. "Cotton Sandstorm (anciennement Neptunium) est un acteur étatique iranien sanctionné par le département américain du Trésor pour ses tentatives de porter atteinte à l'intégrité de l'élection présidentielle américaine de 2020", indiquait un précédent rapport de sécurité de l'entreprise informatique.

Première opération d'influence iranienne à l'aide de l'IA

La trace de ce groupe de hackers a été retrouvée sur la plateforme de messagerie Telegram, où ceux-ci ont publié des vidéos montrant leur piratage de trois services de diffusion en ligne et l'utilisation d'un faux présentateur de journal télévisé, précise le Guardian.

"Il s'agit de la première opération d'influence iranienne détectée par Microsoft dans laquelle l'IA a joué un rôle clé dans la diffusion des messages", indique dans son rapport le service analyse de la multinationale technologique.

Pour le géant informatique américain, Téhéran est derrière cette opération et d'autres cyberattaques. Dans les semaines qui ont suivi le début de la guerre entre Israël et le Hamas, Microsoft dit avoir observé la "collaboration entre des groupes affiliés à l'Iran", notamment entre des hackers dirigés par le ministère iranien du Renseignement et des "unités cybernétiques du Hezbollah".

À lire aussiEn Iran, la distribution d'essence perturbée par une "cyberattaque" israélo-américaine

"La prouesse n’est pas tant la production d’un journal généré par l’IA, mais d’avoir réussi à l’insérer au bon endroit", commente Fabrice Popineau, enseignant-chercheur à l'école d'ingénieurs CentraleSupélec et spécialiste de l’intelligence artificielle.

"La cyberattaque n’a pas ciblé directement la chaîne de télévision mais l’opérateur, pas l’émetteur mais le récepteur", explique Nicolas Arpagian, vice-président du cabinet HeadMind Partners, spécialisé dans l’analyse des risques numériques.

Une opération réussie pour ce type d’attaque qui relève de "l’agit-prop [agitation et propagande politique, NDLR]", estime cet expert. "À partir du moment où vous avez des gens qui le ressentent, le vivent dans leur foyer, dans leur intimité, le but est atteint."

Une campagne de cyberattaques

L’Iran cherche à faire savoir qu’il a la capacité d’attaquer partout, même là où on ne l’attend pas. Dans son rapport, Microsoft révèle que les opérations de menace informatique de Téhéran se sont multipliées dans les semaines qui ont suivi l’attaque du Hamas le 7 octobre en Israël : "L'activité de l'Iran est rapidement passée de neuf groupes suivis par Microsoft et actifs en Israël au cours de la première semaine de la guerre à 14 deux semaines après le début de la guerre. Les cyberattaques sont passées d'environ une opération tous les deux mois en 2021 à 11 pour le seul mois d'octobre 2023."

Fin novembre, des groupes liés à l'Iran ont commencé à étendre leurs cyberattaques au-delà d'Israël, en ciblant des pays alliés à l'État hébreu. Le 22 novembre, les employés d’une agence de l'eau de Pennsylvanie, aux États-Unis, ont ainsi découvert sur les écrans de leurs machines le logo d’un groupe de hackers iraniens affiliés aux Gardiens de la révolution, les Cyber Avengers, accompagné de ce message : "Vous avez été piratés. À bas Israël. Tout équipement fabriqué en Israël est une cible légale pour les Cyber Avengers."

Les hackers pro-Iran s’en sont pris à des contrôleurs logiques programmables (PLC) de fabrication israélienne. Ces PLC sont des processeurs permettant d'exécuter un programme d’automatisation dans les usines. Ils servent par exemple à contrôler des processus de fabrication industriels, comme des machines et des appareils robotisés sur les chaînes de montage. Une enquête criminelle a été ouverte par la police américaine.