Compromission d'Atraf / Cyberserve par Black Shadow

Fin octobre 2021, le groupe Black Shadow, lié à l'Iran — le même acteur derrière la compromission de Shirbit en 2020 — a attaqué l'hébergeur israélien Cyberserve et, quelques jours plus tard, divulgué l'intégralité de la base utilisateurs d'Atraf, une populaire application israélienne de rencontres et de vie nocturne LGBTQ. Les données exposées comprenant la localisation des utilisateurs et, pour certains, leur statut VIH, la fuite a été largement qualifiée de mettant des vies en danger pour une partie de la communauté LGBTQ israélienne.

Ce qui s'est passé

Le 29 octobre 2021, Black Shadow a annoncé avoir compromis Cyberserve, mettant hors service les serveurs de l'hébergeur et de nombreux sites qu'il desservait — dont Atraf, le site d'un grand opérateur de bus et d'autres. Le groupe a exigé un million de dollars en cryptomonnaie sous 48 heures pour empêcher la publication des données dérobées.

Devant le non-paiement de la rançon, les attaquants ont diffusé le matériel par étapes. Le 2 novembre 2021, ils ont publié ce qu'ils décrivaient comme la base de données complète d'Atraf — environ un million d'enregistrements — sur une chaîne Telegram. Les données comprenaient les noms, localisations et informations de statut VIH que les membres avaient renseignés dans leurs profils.

Conséquences

• Environ un million d'enregistrements Atraf ont été exposés, aux côtés de données d'autres clients de Cyberserve. Une fuite ultérieure incluait les dossiers médicaux d'environ 290 000 patients d'un service hébergé distinct.
• Les appels à la ligne d'écoute LGBT israélienne (Aguda) ont doublé, les utilisateurs craignant d'être outés ; pour les personnes non déclarées, l'exposition comportait de sérieux risques pour leur sécurité personnelle.
• Le site Atraf a été définitivement retiré d'internet afin de limiter les dégâts — un cas rare où un service a été entièrement fermé dans le cadre de la réponse à incident.

Attribution

Les analystes israéliens ont attribué l'opération à Black Shadow, évalué comme un acteur lié à l'Iran, en citant les mêmes techniques, le même mode opératoire de fuite et d'extorsion et la même culpabilisation des victimes observés lors d'attaques antérieures. L'attaque est survenue à peine quelques jours après une cyberattaque ayant perturbé les systèmes de paiement des stations-service iraniennes, alimentant l'évaluation selon laquelle elle s'inscrivait dans le conflit cyber plus large Iran-Israël plutôt que dans la cybercriminalité ordinaire.

Pourquoi c'est important

La fuite d'Atraf illustre de façon saisissante comment des violations peuvent causer un préjudice humain direct qu'aucune indemnité d'assurance ni offre de surveillance de crédit ne peut réparer. Des attributs sensibles comme l'orientation sexuelle et le statut VIH relèvent précisément des catégories que le RGPD et des lois similaires qualifient de « particulières » — et cette affaire en a montré la raison. Elle a aussi marqué une escalade dans la confrontation cyber Iran-Israël, où des données civiles profondément personnelles ont été délibérément instrumentalisées pour terroriser une population vulnérable.