Skip to content
Cyber Breaches
Recherche
sabotageunresolved

Cyber-sabotage des aciéries iraniennes

Predatory Sparrow a compromis les systèmes de contrôle industriel de trois grands sidérurgistes iraniens, interrompant la production et — dans les images de vidéosurveillance diffusées par le groupe — provoquant à Khouzestan Steel le déversement de métal en fusion et un incendie sur le sol de l'usine.

Victime
Khouzestan Steel, Mobarakeh Steel & Hormozgan Steel
SecteurIndustrie
PaysIran
GroupePredatory Sparrow

Aux premières heures du 27 juin 2022, le groupe hacktiviste Predatory Sparrow (Gonjeshke Darande) a compromis les systèmes de contrôle industriel de trois des plus grands producteurs d'acier d'Iran — et, dans un rare cas de cyberattaque causant des dégâts physiques visibles, a diffusé des images de vidéosurveillance d'une machine déversant de l'acier en fusion et du feu sur le sol d'une usine.

Ce qui s'est passé

Le groupe a déclaré avoir frappé Mobarakeh Steel Company (province d'Ispahan), Khouzestan Steel Company (près d'Ahvaz, dans le sud-ouest) et Hormozgan Steel Company (sud). Les intrusions se sont produites entre environ minuit et 6 h, alors que le sol de l'usine était en grande partie vide. À Khouzestan Steel, une machine de production est tombée en panne, provoquant le déversement d'une cuve d'acier en fusion et un incendie. Predatory Sparrow a diffusé une vidéo de surveillance horodatée entre 03 h 08 et 03 h 28 montrant l'incident et a affirmé avoir pris soin de ne mettre aucun ouvrier en danger — bien que Wired ait rapporté par la suite que des employés avaient évité de justesse d'être touchés par le métal en fusion.

Khouzestan Steel a reconnu que sa ligne de production s'était arrêtée, attribuant l'arrêt à un « problème technique » et à un problème d'alimentation électrique pendant son enquête.

Conséquences

  • La production de Khouzestan Steel a été temporairement interrompue ; les deux autres usines ont signalé des perturbations.
  • L'attaque a produit des dégâts physiques cinétiques par voie cybernétique — la plaçant aux côtés de Stuxnet et de l'incident de l'aciérie allemande de 2014 dans l'ensemble restreint des cas confirmés de cyber-sabotage physique.
  • Predatory Sparrow a ensuite divulgué des dizaines de milliers de courriels internes qui, selon lui, démontraient les liens des sidérurgistes avec l'armée iranienne et le Corps des Gardiens de la révolution islamique, présentant l'opération comme une réponse à une « agression ».

Attribution

Predatory Sparrow a revendiqué directement la responsabilité, dans la continuité de ses opérations de 2021 contre les chemins de fer et le réseau de distribution de carburant de l'Iran. Le groupe est largement évalué par les analystes et des responsables occidentaux comme lié à Israël, bien qu'aucun gouvernement ne l'ait formellement revendiqué. Des juristes du CCDCOE de l'OTAN ont analysé l'opération comme une étude de cas sur la question de savoir si un tel sabotage de SCI franchit le seuil d'un emploi de la force prohibé en droit international.

Pourquoi c'est important

L'attaque des aciéries est l'une des très rares opérations cyber à avoir causé une destruction physique démontrable d'équipements industriels lourds, filmée. Elle a marqué une escalade, passant du registre de perturbation et d'embarras des attaques ferroviaire et carburant vers des effets cinétiques délibérés et enregistrés — tandis que le minutage soigneux pour éviter des victimes signalait un attaquant maîtrisant la frontière entre sabotage et frappe potentiellement mortelle, et le débat de droit international qu'elle a déclenché continue de façonner les normes de la guerre cyber-physique.

Chronologie

  1. Entre environ minuit et 6 h, Predatory Sparrow compromet les systèmes de contrôle industriel de trois sidérurgistes iraniens.

  2. Une machine de production à Khouzestan Steel tombe en panne, déversant de l'acier en fusion et déclenchant un incendie ; la vidéosurveillance diffusée ensuite par le groupe date l'événement de 03 h 08 à 03 h 28.

  3. La ligne de production de Khouzestan Steel s'arrête ; l'entreprise déclare avoir suspendu ses opérations et impute un « problème technique ».

  4. Predatory Sparrow revendique publiquement l'attaque contre les aciéries Mobarakeh, Khouzestan et Hormozgan et diffuse les images de vidéosurveillance de l'incident du métal en fusion.

  5. Le groupe publie des dizaines de milliers de courriels internes qui, selon lui, montrent les liens des entreprises avec l'armée iranienne et les Gardiens de la révolution.

Sources

  1. en.wikipedia.orghttps://en.wikipedia.org/wiki/Predatory_Sparrow
  2. iranintl.comhttps://www.iranintl.com/en/202206274256
  3. cyberlaw.ccdcoe.orghttps://cyberlaw.ccdcoe.org/wiki/Predatory_Sparrow_operation_against_Iranian_steel_maker_(2022)
  4. iranwire.comhttps://iranwire.com/en/technology/105278-hacking-group-predatory-sparrow-takes-down-steel-plants-in-iran/
  5. verdict.co.ukhttps://www.verdict.co.uk/cyberattacks-predatory-sparrow-iran/

Incidents liés

sabotageunresolved

Cyberattaque contre la distribution de carburant en Iran

Une cyberattaque attribuée à Predatory Sparrow a désactivé le système des cartes de carburant subventionné de l'Iran, paralysant le paiement dans la totalité des 4 300 stations-service du pays et détournant des panneaux d'affichage autoroutiers pour railler le Guide suprême Khamenei.

Victim
National Iranian Oil Products Distribution Company (NIOPDC) — réseau de cartes de carburant
WiperRésolu

Stuxnet (Operation Olympic Games)

Les services de renseignement américains et israéliens ont conjointement développé et déployé Stuxnet — la première cyberarme largement connue à avoir causé des dommages physiques. Le ver visait l'installation d'enrichissement d'uranium iranienne de Natanz et a détruit environ 1 000 centrifugeuses IR-1 entre 2009 et 2010.

Victim
Installation d'enrichissement d'uranium de Natanz (Iran)
Loss
$100.0M
RançongicielContenu

Rançongiciel LockBit contre Continental AG (Allemagne, 2022)

Les opérateurs de LockBit ont infiltré certaines parties des systèmes informatiques du géant allemand des équipements automobiles Continental AG en août 2022. Une mise sous contrôle a d'abord été annoncée, mais en novembre, le groupe a mis 40 téraoctets de données volées de Continental sur son site de fuite du dark web, proposés à la vente ou à la destruction pour 50 millions de dollars.

Victim
Continental AG
RançongicielContenu

Cyberattaque par chaîne d'approvisionnement chez Toyota Kojima Industries (2022)

Une attaque contre Kojima Industries, fournisseur de pièces plastiques et électroniques de Toyota, a paralysé un seul serveur, suffisant pour stopper la production de l'ensemble des 14 usines japonaises de Toyota — environ 13 000 véhicules par jour — faisant de cet épisode l'exemple canonique de la fragilité cyber de la production en juste-à-temps.

Victim
Kojima Industries (fournisseur de Toyota)