{"id":176223,"date":"2026-03-16T08:09:32","date_gmt":"2026-03-16T15:09:32","guid":{"rendered":"https:\/\/unit42.paloaltonetworks.com\/?p=176223"},"modified":"2026-03-27T08:42:41","modified_gmt":"2026-03-27T15:42:41","slug":"evolution-of-iran-cyber-threats","status":"publish","type":"post","link":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/evolution-of-iran-cyber-threats\/","title":{"rendered":"L\u2019\u00e9volution de la cybermenace iranienne : des wipers MBR \u00e0 l\u2019instrumentalisation des identit\u00e9s"},"content":{"rendered":"<p>Les r\u00e9centes<a href=\"https:\/\/unit42.paloaltonetworks.com\/fr\/handala-hack-wiper-attacks\/\" target=\"_blank\" rel=\"noopener\"> cyberattaques attribu\u00e9es \u00e0 des acteurs de menace iraniens<\/a> vont au-del\u00e0 d'une simple perturbation de r\u00e9seau. Loin de constituer des incidents de sabotage isol\u00e9s, ce type d'attaque s'inscrit dans un contexte plus large, marqu\u00e9 par le recours de l'Iran \u00e0 des repr\u00e9sailles asym\u00e9triques et \u00e0 sa doctrine historique de guerre par procuration (<em>proxy doctrine<\/em>). Les acteurs de la menace li\u00e9s \u00e0 l'Iran utilisent de plus en plus le cyberespace pour compenser un d\u00e9s\u00e9quilibre de forces.<\/p>\n<p>Pour le Corps des Gardiens de la r\u00e9volution islamique (CGRI) et le Minist\u00e8re du Renseignement et de la S\u00e9curit\u00e9 (MOIS), les cyber-op\u00e9rations constituent un m\u00e9canisme de repr\u00e9sailles \u00e0 faible co\u00fbt et \u00e0 fort impact, affranchi de toute fronti\u00e8re.. Dans cet environnement, les organisations mondiales font face \u00e0 un risque cyber accru, o\u00f9 le d\u00e9ploiement de malwares traditionnels convergent avec de nouvelles formes d\u2019usurpation d\u2019identit\u00e9. Le passage de malwares de type wiper personnalis\u00e9s \u00e0 l'abus d'outils d'administration natifs supprime un garde-fou de d\u00e9tection essentiel qui prot\u00e9geait historiquement les r\u00e9seaux d'entreprise.<\/p>\n<h2><a id=\"post-176223-_6rww3gd8izlb\"><\/a>Des binaires personnalis\u00e9s \u00e0 l\u2019usurpation d\u2019identit\u00e9<\/h2>\n<p>Le virage tactique actuel des cyber-acteurs iraniens s'explique moins par un manque de capacit\u00e9s de d\u00e9veloppement de malwares que par les avantages strat\u00e9giques des techniques de type <em>living-off-the-land<\/em> (LotL). Les op\u00e9rations visant \u00e0 provoquer des perturbations ont \u00e9volu\u00e9 depuis 2023 : au lieu de s'appuyer massivement sur des outils sur mesure, les m\u00e9thodes employ\u00e9es s'inscrivent d\u00e9sormais dans une tendance plus large de changement d'\u00e9chelle et une plus grande furtivit\u00e9.<\/p>\n<p>Lors des r\u00e9cents incidents impliquant des wipers, les acteurs de menace op\u00e9rant sous le pseudonyme Void Manticore (Handala) n'ont pas d\u00e9ploy\u00e9 de wiper inconnus jusqu\u2019alors ni de malwares traditionnels. \u00c0 la place, les attaquants ont compromis des identit\u00e9s \u00e0 hauts privil\u00e8ges pour lancer des commandes de suppression \u00e0 distance (<em>remote-wipe<\/em>) sur plus de 200 000 appareils \u00e0 travers le monde.<\/p>\n<p>Ce passage des binaires personnalis\u00e9s \u00e0 l'abus administratif illustre une nouvelle dynamique. Dans ce contexte, les groupes APT iraniens semblent de plus en plus percevoir les outils d'administration d'entreprise non plus seulement comme des infrastructures informatiques, mais comme des actifs pouvant \u00eatre transform\u00e9s en armes (<em>weaponizable assets<\/em>) au sein d'un cadre de perturbation plus vaste. Cette distinction est cruciale pour comprendre comment les acteurs li\u00e9s \u00e0 l'\u00e9tat iranien per\u00e7oivent les plateformes de gestion des appareils mobiles (<em>MDM - Mobile Device Management<\/em>) : non pas comme des outils de gestion, mais comme des vecteurs d'attaque \u00e0 fort impact permettant de contourner la t\u00e9l\u00e9m\u00e9trie traditionnelle des solutions <em>EDR (Endpoint Detection and Response)<\/em>.<\/p>\n<h2><a id=\"post-176223-_kg160pcj5rbf\"><\/a>Gravir les \u00e9chelons de l'escalade<\/h2>\n<p>D\u00e8s<a href=\"https:\/\/www.cfr.org\/cyber-operations\/compromise-of-saudi-aramco-and-rasgas\" target=\"_blank\" rel=\"noopener\"> 2012<\/a> et 2016, les acteurs iraniens lan\u00e7aient d'importantes op\u00e9rations de perturbation dans la r\u00e9gion. En retra\u00e7ant l'historique de leurs cyber-repr\u00e9sailles contre ce qu'ils per\u00e7oivent comme des affronts g\u00e9opolitiques, nous observons un sch\u00e9ma clair d'escalade des capacit\u00e9s et des intentions au cours de la derni\u00e8re d\u00e9cennie parmi les groupes li\u00e9s au CGRI et au MOIS.<\/p>\n<h3><a id=\"post-176223-_o13i9evyny32\"><\/a>Les instruments contondants (2016-2019)<\/h3>\n<p>Au cours de cette p\u00e9riode, des groupes d'acteurs de menace tels que<a href=\"https:\/\/unit42.paloaltonetworks.com\/curious-serpens-falsefont-backdoor\/\" target=\"_blank\" rel=\"noopener\"> Curious Serpens<\/a> (APT33, Elfin) et<a href=\"https:\/\/unit42.paloaltonetworks.com\/threat-actor-groups-tracked-by-palo-alto-networks-unit-42\/\" target=\"_blank\" rel=\"noopener\"> Evasive Serpens<\/a> (APT34, OilRig) ont cibl\u00e9 les infrastructures informatiques avec des wipers (effacement de disque) tr\u00e8s visibles.<\/p>\n<ul>\n<li><strong>R\u00e9surgence de Shamoon :<\/strong> Apr\u00e8s son<a href=\"https:\/\/www.computerworld.com\/article\/1526242\/kill-timer-found-in-shamoon-malware-suggests-possible-connection-to-saudi-ar.html\" target=\"_blank\" rel=\"noopener\"> apparition<\/a> initiale en 2012, les versions<a href=\"https:\/\/unit42.paloaltonetworks.com\/unit42-second-wave-shamoon-2-attacks-identified\/\" target=\"_blank\" rel=\"noopener\"> Shamoon 2<\/a> et<a href=\"https:\/\/unit42.paloaltonetworks.com\/shamoon-3-modified-open-source-wiper-contains-verse-from-the-quran\/\" target=\"_blank\" rel=\"noopener\"> Shamoon 3<\/a> ont \u00e9t\u00e9 d\u00e9ploy\u00e9es contre des entit\u00e9s du Moyen-Orient. Ces attaques utilisaient le <em>spearphishing<\/em> (hame\u00e7onnage cibl\u00e9) pour obtenir un acc\u00e8s initial, avant de s\u2019appuyer sur le pilote Eldos RawDisk pour contourner les API Windows et \u00e9craser le <em>Master Boot Record<\/em> (MBR).<\/li>\n<li><strong>ZeroCleare et Dustman :<\/strong> D\u00e9ploy\u00e9s massivement contre les secteurs de l'\u00e9nergie et de l'industrie, des wipers tels que<a href=\"https:\/\/thehackernews.com\/2019\/12\/zerocleare-data-wiper-malware.html\" target=\"_blank\" rel=\"noopener\"> ZeroCleare<\/a> et son successeur<a href=\"https:\/\/www.darkreading.com\/vulnerabilities-threats\/dustman-attack-underscores-iran-s-cyber-capabilities\" target=\"_blank\" rel=\"noopener\"> Dustman<\/a> reproduisaient la strat\u00e9gie de Shamoon en d\u00e9tournant des pilotes l\u00e9gitimes pour produire des effets destructeurs.<\/li>\n<\/ul>\n<p>\u00c0 cette \u00e9poque, les acteurs iraniens privil\u00e9giaient les repr\u00e9sailles visibles \u00e0 la furtivit\u00e9. Leurs cyberattaques visaient \u00e0 projeter leur puissance et \u00e0 infliger une paralysie op\u00e9rationnelle maximale.<\/p>\n<h3><a id=\"post-176223-_66qnmuy0iqm8\"><\/a>Camouflage par ransomware : d\u00e9ni plausible et compromission de la cha\u00eene d'approvisionnement (2020-2022)<\/h3>\n<p>Face \u00e0 une surveillance accrue, les cyber-acteurs iraniens ont adapt\u00e9 leur mode op\u00e9ratoire pour introduire une dimension de d\u00e9ni plausible (<em>plausible deniability<\/em>). L'objectif strat\u00e9gique est pass\u00e9 d'un sabotage \u00e9tatique manifeste \u00e0 une imitation de la cybercriminalit\u00e9 \u00e0 but lucratif. Ce pivot tactique a \u00e9t\u00e9 principalement men\u00e9 par le groupe d'acteurs de menace<a href=\"https:\/\/unit42.paloaltonetworks.com\/agonizing-serpens-targets-israeli-tech-higher-ed-sectors\/\" target=\"_blank\" rel=\"noopener\"> Agonizing Serpens<\/a> (Agrius).<\/p>\n<ul>\n<li><strong>La suite de wipers d'Agonizing Serpens (Apostle et Fantasy) :<\/strong> Plut\u00f4t que de s'appuyer sur le <em>spearphishing<\/em> traditionnel, Agonizing Serpens a fr\u00e9quemment exploit\u00e9 des vuln\u00e9rabilit\u00e9s de type \"one-day\" publiquement disponibles dans des applications web expos\u00e9es pour d\u00e9poser des<a href=\"https:\/\/www.nozominetworks.com\/blog\/agrius-in-focus-dissecting-a-web-shell\" target=\"_blank\" rel=\"noopener\"> web shells<\/a> personnalis\u00e9s. Une fois l'acc\u00e8s initial \u00e9tabli, le groupe<a href=\"https:\/\/www.sentinelone.com\/labs\/from-wiper-to-ransomware-the-evolution-of-agrius\/\" target=\"_blank\" rel=\"noopener\"> d\u00e9ployait<\/a> des charges utiles (<em>payloads<\/em>) con\u00e7ues pour brouiller les pistes entre espionnage et extorsion.<\/li>\n<li><strong>\u00c9volution d'Apostle :<\/strong> Initialement observ\u00e9 comme un pur wiper d\u00e9guis\u00e9 en op\u00e9ration de ransomware, les<a href=\"https:\/\/www.sentinelone.com\/labs\/from-wiper-to-ransomware-the-evolution-of-agrius\/\" target=\"_blank\" rel=\"noopener\"> premi\u00e8res versions d'Apostle<\/a> n'avaient pas la capacit\u00e9 r\u00e9elle de d\u00e9chiffrer les fichiers, indiquant que la destruction des donn\u00e9es en \u00e9tait l'intention premi\u00e8re. Des variantes ult\u00e9rieures ont toutefois \u00e9t\u00e9 corrig\u00e9es pour int\u00e9grer de r\u00e9elles capacit\u00e9s de chiffrement, compliquant l'attribution et retardant les efforts de r\u00e9ponse aux incidents en for\u00e7ant les d\u00e9fenseurs \u00e0 traiter l'\u00e9v\u00e9nement comme un incident de cybercriminalit\u00e9 classique.<\/li>\n<li><strong>Exploitation de la cha\u00eene d'approvisionnement :<\/strong> Le d\u00e9ploiement du<a href=\"https:\/\/www.eset.com\/hk\/about\/newsroom\/press-releases\/news\/fantasy-a-new-agrius-wiper-deployed-through-a-supply-chain-attack0\/\" target=\"_blank\" rel=\"noopener\"> wiper Fantasy<\/a> a marqu\u00e9 une escalade significative dans la m\u00e9thodologie de ciblage d'Agrius. En compromettant un \u00e9diteur de logiciels isra\u00e9lien tiers de confiance, les acteurs de la menace ont ex\u00e9cut\u00e9 une attaque par la cha\u00eene d'approvisionnement (<em>supply chain attack<\/em>) qui a touch\u00e9 des victimes en aval dans de multiples secteurs d'activit\u00e9 mondiaux.<\/li>\n<\/ul>\n<p>Se faire passer pour un syndicat de ransomware offrait un avantage strat\u00e9gique majeur aux cyber-acteurs iraniens en masquant leur affiliation \u00e9tatique, tout en produisant l'effet escompt\u00e9 de perturbation des affaires et de dommages \u00e9conomiques.<\/p>\n<h3><a id=\"post-176223-_padkvcytfqlg\"><\/a>Le hacktivisme de fa\u00e7ade : op\u00e9rations psychologiques et destruction multiplateforme (2023-2025)<\/h3>\n<p>Entre 2023 et 2025, le paysage des menaces a de nouveau mut\u00e9. Le mod\u00e8le APT traditionnel a laiss\u00e9 place \u00e0 une multiplication de profils hacktivistes dirig\u00e9s par l'\u00c9tat. Des groupes tels que Void Manticore et l'\u00e9quipe Handala Hack ont op\u00e9r\u00e9 ouvertement sur des plateformes comme<a href=\"https:\/\/cyberint.com\/blog\/threat-intelligence\/handala-hack-what-we-know-about-the-rising-threat-actor\/\" target=\"_blank\" rel=\"noopener\"> Telegram<\/a>, utilisant des attaques destructrices comme composante d'op\u00e9rations psychologiques et d'une guerre de l'information plus vaste.<\/p>\n<ul>\n<li><strong>Wipers BiBi, Hatef et Hamsa :<\/strong> L'\u00e9mergence de ces familles de malwares a mis en \u00e9vidence une \u00e9volution technique critique : la capacit\u00e9 multiplateforme. Alors que les premiers wipers \u00e9taient strictement centr\u00e9s sur Windows, les acteurs de la menace ont d\u00e9ploy\u00e9 le wiper Hatef (bas\u00e9 sur .NET) pour les environnements Windows aux c\u00f4t\u00e9s des<a href=\"https:\/\/www.securityjoes.com\/post\/bibi-linux-a-new-wiper-dropped-by-pro-hamas-hacktivist-group\" target=\"_blank\" rel=\"noopener\"> wipers Hamsa et BiBi (bas\u00e9s sur Bash)<\/a> ciblant les serveurs Linux.<\/li>\n<li><strong>Destruction au niveau des fichiers :<\/strong> Techniquement, ces<a href=\"https:\/\/arcticwolf.com\/resources\/blog\/bibi-wiper-used-in-the-israel-hamas-war-now-runs-on-windows\/\" target=\"_blank\" rel=\"noopener\"> variantes<\/a> se sont \u00e9loign\u00e9es des techniques complexes d'effacement du MBR de l'\u00e8re Shamoon au profit d'une destruction rapide et r\u00e9cursive des fichiers, \u00e9crasant les donn\u00e9es par blocs de 4096 octets de donn\u00e9es al\u00e9atoires.<\/li>\n<li><strong>MultiLayer et BFG Agonizer :<\/strong> Parall\u00e8lement, des d\u00e9ploiements collaboratifs entre Agonizing Serpens et Boggy Serpens (alias<a href=\"https:\/\/unit42.paloaltonetworks.com\/unit42-muddying-the-water-targeted-attacks-in-the-middle-east\/\" target=\"_blank\" rel=\"noopener\"> MuddyWater<\/a>) ont introduit des<a href=\"https:\/\/unit42.paloaltonetworks.com\/agonizing-serpens-targets-israeli-tech-higher-ed-sectors\/\" target=\"_blank\" rel=\"noopener\"> wipers hautement modulaires comme MultiLayer et BFG Agonizer<\/a>. Ces op\u00e9rations ont fr\u00e9quemment d\u00e9tourn\u00e9 des outils de surveillance et de gestion \u00e0 distance (<em>RMM - Remote Monitoring and Management<\/em>) l\u00e9gitimes pour distribuer les <em>payloads<\/em> \u00e0 grande \u00e9chelle.<\/li>\n<\/ul>\n<p>Au cours de cette p\u00e9riode, les wipers ne sont devenus qu'une composante d'un mod\u00e8le de menace hybride. Les d\u00e9ploiements destructeurs \u00e9taient syst\u00e9matiquement associ\u00e9s \u00e0 une exfiltration agressive de donn\u00e9es, cr\u00e9ant des op\u00e9rations simultan\u00e9es de type \"hack-and-leak\" (piratage et fuite).<\/p>\n<h3><a id=\"post-176223-_bn9g5i8onow5\"><\/a>L'\u00e8re de l'instrumentalisation des identit\u00e9s (2026 et au-del\u00e0)<\/h3>\n<p>La plus r\u00e9cente<a href=\"https:\/\/www.forrester.com\/blogs\/the-stryker-attack-enterprise-resiliency-plans-cant-ignore-uem\/\" target=\"_blank\" rel=\"noopener\"> escalade<\/a> des op\u00e9rations cyber-offensives iraniennes marque une rupture fondamentale avec les m\u00e9thodes de la d\u00e9cennie pr\u00e9c\u00e9dente. Si les motivations strat\u00e9giques restent constantes, l'ex\u00e9cution technique est pass\u00e9e du d\u00e9ploiement de malwares personnalis\u00e9s \u00e0 une forme hautement destructrice de <em>Living-off-the-Land<\/em> (LotL). Au lieu de tenter d'\u00e9chapper aux agents EDR avec des wipers sophistiqu\u00e9s, ces groupes ciblent d\u00e9sormais le plan de gestion (<em>management plane<\/em>) de l'entreprise lui-m\u00eame.<\/p>\n<ul>\n<li><strong>Exploitation de la gestion des appareils mobiles (MDM) :<\/strong> Le principal vecteur d'attaque repose sur la compromission d'identit\u00e9s \u00e0 hauts privil\u00e8ges ayant acc\u00e8s \u00e0 des consoles de gestion bas\u00e9es sur le cloud, telles que les plateformes MDM\/RMM.<\/li>\n<li><strong>D\u00e9tournement des commandes int\u00e9gr\u00e9es :<\/strong> Une fois l'acc\u00e8s administratif s\u00e9curis\u00e9, les acteurs de la menace d\u00e9tournent des fonctionnalit\u00e9s l\u00e9gitimes, en particulier les commandes de suppression \u00e0 distance (<em>remote wipe<\/em>) ou de r\u00e9initialisation d'usine (<em>factory reset<\/em>). En diffusant ces commandes sur l'ensemble du <em>tenant<\/em> g\u00e9r\u00e9, les attaquants peuvent effacer simultan\u00e9ment des centaines de milliers d'ordinateurs portables, de serveurs et d'appareils mobiles d'entreprise (y compris le mat\u00e9riel personnel en <em>BYOD - Bring Your Own Device<\/em>) \u00e0 travers des infrastructures mondiales.<\/li>\n<li><strong>L\u2019angle mort des EDR :<\/strong> Comme aucun wiper traditionnel n'est d\u00e9pos\u00e9 et qu'aucun processus d'\u00e9criture sur disque anormal n'est initi\u00e9 par un ex\u00e9cutable inconnu, les plateformes EDR et les antivirus peuvent rester largement aveugles \u00e0 l'activit\u00e9. Les commandes destructrices sont authentifi\u00e9es, autoris\u00e9es et d\u00e9livr\u00e9es directement depuis l'infrastructure de confiance des fournisseurs.<\/li>\n<\/ul>\n<p>Cette m\u00e9thodologie offre une \u00e9chelle et une rapidit\u00e9 sans pr\u00e9c\u00e9dent. Elle \u00e9limine la n\u00e9cessit\u00e9, co\u00fbteuse en ressources, de d\u00e9velopper, tester et mettre \u00e0 jour des familles de malwares personnalis\u00e9s, tout en garantissant un impact catastrophique sur les capacit\u00e9s op\u00e9rationnelles de la cible.<\/p>\n<h2><a id=\"post-176223-_dee8sg8u7bio\"><\/a>Perspectives : un nouveau paradigme strat\u00e9gique<\/h2>\n<p>Pour les professionnels de la cybers\u00e9curit\u00e9, le mod\u00e8le de menace a consid\u00e9rablement \u00e9volu\u00e9. La principale le\u00e7on \u00e0 tirer de cette chronologie \u00e9volutive est que l'infrastructure d'une organisation n'est pas plus robuste que son identifiant administratif le plus vuln\u00e9rable. Lorsque des acteurs de menace peuvent transformer les outils de gestion et de s\u00e9curit\u00e9 d'un parc informatique en instruments de sa destruction, le paradigme d\u00e9fensif doit \u00e9voluer : il ne s'agit plus seulement de se concentrer sur la d\u00e9tection de malwares, mais d'imposer une r\u00e9silience stricte des identit\u00e9s.<\/p>\n<p>Pour les acteurs \u00e9tatiques, perturber les op\u00e9rations via l'abus d'identit\u00e9s natives est un moyen extr\u00eamement efficace et \u00e9volutif de projeter leur puissance et d'infliger des dommages \u00e9conomiques. En comprenant cette \u00e9volution tactique, les organisations peuvent passer d'une posture de chasse r\u00e9active aux malwares \u00e0 une r\u00e9silience v\u00e9rifi\u00e9e, centr\u00e9e sur l'identit\u00e9.<\/p>\n<p>Pour att\u00e9nuer le risque d'abus administratif li\u00e9 \u00e0 des \u00c9tats, les \u00e9quipes de s\u00e9curit\u00e9 doivent mettre en \u0153uvre les contre-mesures strat\u00e9giques suivantes :<\/p>\n<ul>\n<li><strong>Traiter le plan de gestion comme un actif de \"Tier-0\" :<\/strong> Les<a href=\"https:\/\/www.paloaltonetworks.com\/resources\/datasheets\/cortex-cloud-ciem\" target=\"_blank\" rel=\"noopener\"> plateformes de gestion bas\u00e9es sur le cloud<\/a> doivent \u00eatre class\u00e9es comme des infrastructures critiques. Les modifications des politiques MDM, les attributions de r\u00f4les et les p\u00e9rim\u00e8tres d'inscription doivent \u00eatre soumis aux m\u00eames processus rigoureux de contr\u00f4le des changements que les modifications de contr\u00f4leurs de domaine.<\/li>\n<li><strong>Appliquer un acc\u00e8s conditionnel strict et le Zero Trust :<\/strong> L'acc\u00e8s aux portails administratifs doit \u00eatre prot\u00e9g\u00e9 par des politiques d'acc\u00e8s conditionnel robustes. Des identifiants valides et une authentification multifacteur (MFA) ne suffisent plus ;<a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/r\/Cortex-XSIAM\/Cortex-XSIAM-3.x-Documentation\/Cortex-Cloud-Identity-Security\" target=\"_blank\" rel=\"noopener\"> l'acc\u00e8s doit \u00e9galement n\u00e9cessiter une v\u00e9rification<\/a> \u00e0 partir d'un appareil d'entreprise connu, conforme et r\u00e9pertori\u00e9. Toute tentative d'authentification avec des identifiants vol\u00e9s depuis un appareil inconnu ou une plage d'adresses IP anormale doit d\u00e9clencher un blocage pur et simple, et non un simple message de validation MFA.<\/li>\n<li><strong>\u00c9liminer les privil\u00e8ges permanents :<\/strong> Les organisations doivent auditer et r\u00e9duire drastiquement le nombre de comptes d\u00e9tenant des r\u00f4les d'administrateur g\u00e9n\u00e9ral permanents. Mettez en \u0153uvre une<a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/r\/Cortex-XDR\/Cortex-XDR-3.x-Documentation\/Privileged-Security-Admin\" target=\"_blank\" rel=\"noopener\"> gestion des identit\u00e9s privil\u00e9gi\u00e9es (PIM - Privileged Identity Management)<\/a> pour garantir que l'acc\u00e8s administratif n'est accord\u00e9 que sur une base <em>Just-In-Time<\/em> (JIT), avec des flux de travail d'approbation et une limitation stricte dans le temps.<\/li>\n<li><strong>Isoler et d\u00e9connecter les sauvegardes (Air-gap) :<\/strong> Dans un environnement o\u00f9 le <em>tenant<\/em> cloud lui-m\u00eame est compromis, les sauvegardes connect\u00e9es au cloud sont extr\u00eamement vuln\u00e9rables \u00e0 la m\u00eame destruction. Le maintien de sauvegardes hors ligne, d\u00e9connect\u00e9es (<em>air-gapped<\/em>) et immuables est une exigence non n\u00e9gociable pour garantir la survie de l'organisation face \u00e0 des op\u00e9rations d'effacement administratif natif.<\/li>\n<\/ul>\n<h2 data-path-to-node=\"1\">Ressources compl\u00e9mentaires<\/h2>\n<ul>\n<li>I<a href=\"https:\/\/unit42.paloaltonetworks.com\/fr\/handala-hack-wiper-attacks\/\" target=\"_blank\" rel=\"noopener\">nsights : Risque accru d'attaques par wiper<\/a>\u2013 Unit 42, Palo Alto Networks<\/li>\n<li><a href=\"https:\/\/unit42.paloaltonetworks.com\/boggy-serpens-threat-assessment\/\" target=\"_blank\" rel=\"noopener\">\u00c9valuation de la menace Boggy Serpens<\/a> \u2013 Unit 42, Palo Alto Networks<\/li>\n<li><a href=\"https:\/\/unit42.paloaltonetworks.com\/fr\/iranian-cyberattacks-2026\/\" target=\"_blank\" rel=\"noopener\">Note d'actualit\u00e9 sur les menaces : Escalade du cyber-risque li\u00e9 \u00e0 l'Iran en mars 2026<\/a> \u2013 Unit 42, Palo Alto Networks<\/li>\n<\/ul>\n<p data-path-to-node=\"2\"><i data-path-to-node=\"2\" data-index-in-node=\"0\">Mis \u00e0 jour le 23 mars 2026 \u00e0 15h26 (PT) pour inclure une section Ressources compl\u00e9mentaires avec des liens.<\/i><\/p>\n","protected":false},"excerpt":{"rendered":"<p>L'\u00e9volution des cyber-op\u00e9rations iraniennes dans un contexte global : des wipers personnalis\u00e9s au d\u00e9tournement d'outils d'administration l\u00e9gitimes, et bien plus encore.<\/p>\n","protected":false},"author":366,"featured_media":175669,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"inline_featured_image":false,"footnotes":""},"categories":[9618,9596],"tags":[9297,10001,9299,9302,10003,10002,9795,9988],"product_categories":[9041,9151],"coauthors":[9896],"class_list":["post-176223","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-general-fr","category-insights-fr","tag-agonizing-serpens-fr","tag-agrius","tag-curious-serpens-fr","tag-evasive-serpens-fr","tag-oilrig","tag-shamoon","tag-telegram-fr","tag-wiper","product_categories-cortex-fr","product_categories-unit-42-incident-response-fr"],"yoast_head":"<!-- This site is optimized with the Yoast SEO Premium plugin v27.0 (Yoast SEO v27.0) - https:\/\/yoast.com\/product\/yoast-seo-premium-wordpress\/ -->\n<title>L\u2019\u00e9volution de la cybermenace iranienne : des wipers MBR \u00e0 l\u2019instrumentalisation des identit\u00e9s<\/title>\n<meta name=\"description\" content=\"L&#039;\u00e9volution des cyber-op\u00e9rations iraniennes dans un contexte global : des wipers personnalis\u00e9s au d\u00e9tournement d&#039;outils d&#039;administration l\u00e9gitimes, et bien plus encore.\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/unit42.paloaltonetworks.com\/fr\/evolution-of-iran-cyber-threats\/\" \/>\n<meta property=\"og:locale\" content=\"fr_FR\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"L\u2019\u00e9volution de la cybermenace iranienne : des wipers MBR \u00e0 l\u2019instrumentalisation des identit\u00e9s\" \/>\n<meta property=\"og:description\" content=\"L&#039;\u00e9volution des cyber-op\u00e9rations iraniennes dans un contexte global : des wipers personnalis\u00e9s au d\u00e9tournement d&#039;outils d&#039;administration l\u00e9gitimes, et bien plus encore.\" \/>\n<meta property=\"og:url\" content=\"https:\/\/unit42.paloaltonetworks.com\/fr\/evolution-of-iran-cyber-threats\/\" \/>\n<meta property=\"og:site_name\" content=\"Unit 42\" \/>\n<meta property=\"article:published_time\" content=\"2026-03-16T15:09:32+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2026-03-27T15:42:41+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/03\/04_Hactivism_Overview_1920x900.jpg\" \/>\n\t<meta property=\"og:image:width\" content=\"1920\" \/>\n\t<meta property=\"og:image:height\" content=\"900\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/jpeg\" \/>\n<meta name=\"author\" content=\"Justin Moore\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<!-- \/ Yoast SEO Premium plugin. -->","yoast_head_json":{"title":"L\u2019\u00e9volution de la cybermenace iranienne : des wipers MBR \u00e0 l\u2019instrumentalisation des identit\u00e9s","description":"L'\u00e9volution des cyber-op\u00e9rations iraniennes dans un contexte global : des wipers personnalis\u00e9s au d\u00e9tournement d'outils d'administration l\u00e9gitimes, et bien plus encore.","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/unit42.paloaltonetworks.com\/fr\/evolution-of-iran-cyber-threats\/","og_locale":"fr_FR","og_type":"article","og_title":"L\u2019\u00e9volution de la cybermenace iranienne : des wipers MBR \u00e0 l\u2019instrumentalisation des identit\u00e9s","og_description":"L'\u00e9volution des cyber-op\u00e9rations iraniennes dans un contexte global : des wipers personnalis\u00e9s au d\u00e9tournement d'outils d'administration l\u00e9gitimes, et bien plus encore.","og_url":"https:\/\/unit42.paloaltonetworks.com\/fr\/evolution-of-iran-cyber-threats\/","og_site_name":"Unit 42","article_published_time":"2026-03-16T15:09:32+00:00","article_modified_time":"2026-03-27T15:42:41+00:00","og_image":[{"width":1920,"height":900,"url":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/03\/04_Hactivism_Overview_1920x900.jpg","type":"image\/jpeg"}],"author":"Justin Moore","twitter_card":"summary_large_image","schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Article","@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/evolution-of-iran-cyber-threats\/#article","isPartOf":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/evolution-of-iran-cyber-threats\/"},"author":{"name":"Sheida Azimi","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/7ee97ec6f224446d57c0383eb5fd3639"},"headline":"L\u2019\u00e9volution de la cybermenace iranienne : des wipers MBR \u00e0 l\u2019instrumentalisation des identit\u00e9s","datePublished":"2026-03-16T15:09:32+00:00","dateModified":"2026-03-27T15:42:41+00:00","mainEntityOfPage":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/evolution-of-iran-cyber-threats\/"},"wordCount":2258,"image":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/evolution-of-iran-cyber-threats\/#primaryimage"},"thumbnailUrl":"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/03\/04_Hactivism_Overview_1920x900.jpg","keywords":["Agonizing Serpens","Agrius","Curious Serpens","Evasive Serpens","OilRig","Shamoon","Telegram","wiper"],"articleSection":["General","Insights"],"inLanguage":"fr-FR"},{"@type":"WebPage","@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/evolution-of-iran-cyber-threats\/","url":"https:\/\/unit42.paloaltonetworks.com\/fr\/evolution-of-iran-cyber-threats\/","name":"L\u2019\u00e9volution de la cybermenace iranienne : des wipers MBR \u00e0 l\u2019instrumentalisation des identit\u00e9s","isPartOf":{"@id":"https:\/\/unit42.paloaltonetworks.com\/#website"},"primaryImageOfPage":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/evolution-of-iran-cyber-threats\/#primaryimage"},"image":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/evolution-of-iran-cyber-threats\/#primaryimage"},"thumbnailUrl":"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/03\/04_Hactivism_Overview_1920x900.jpg","datePublished":"2026-03-16T15:09:32+00:00","dateModified":"2026-03-27T15:42:41+00:00","author":{"@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/7ee97ec6f224446d57c0383eb5fd3639"},"description":"L'\u00e9volution des cyber-op\u00e9rations iraniennes dans un contexte global : des wipers personnalis\u00e9s au d\u00e9tournement d'outils d'administration l\u00e9gitimes, et bien plus encore.","breadcrumb":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/evolution-of-iran-cyber-threats\/#breadcrumb"},"inLanguage":"fr-FR","potentialAction":[{"@type":"ReadAction","target":["https:\/\/unit42.paloaltonetworks.com\/fr\/evolution-of-iran-cyber-threats\/"]}]},{"@type":"ImageObject","inLanguage":"fr-FR","@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/evolution-of-iran-cyber-threats\/#primaryimage","url":"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/03\/04_Hactivism_Overview_1920x900.jpg","contentUrl":"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/03\/04_Hactivism_Overview_1920x900.jpg","width":1920,"height":900,"caption":"Pictorial representation of Iran cyber attack history. A digitally rendered cityscape resembling a circuit board, with glowing lines and skyscraper-like structures representing electronic components. The background features a blurred city skyline, illuminated by a warm light."},{"@type":"BreadcrumbList","@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/evolution-of-iran-cyber-threats\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Home","item":"https:\/\/unit42.paloaltonetworks.com\/"},{"@type":"ListItem","position":2,"name":"L\u2019\u00e9volution de la cybermenace iranienne : des wipers MBR \u00e0 l\u2019instrumentalisation des identit\u00e9s"}]},{"@type":"WebSite","@id":"https:\/\/unit42.paloaltonetworks.com\/#website","url":"https:\/\/unit42.paloaltonetworks.com\/","name":"Unit 42","description":"Palo Alto Networks","potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/unit42.paloaltonetworks.com\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"fr-FR"},{"@type":"Person","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/7ee97ec6f224446d57c0383eb5fd3639","name":"Sheida Azimi","image":{"@type":"ImageObject","inLanguage":"fr-FR","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/image\/9213e49ea48b7676660bac40d05c9e3e","url":"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2018\/11\/unit-news-meta.svg","contentUrl":"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2018\/11\/unit-news-meta.svg","caption":"Sheida Azimi"},"url":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/author\/sheida-azimi\/"}]}},"_links":{"self":[{"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/posts\/176223","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/users\/366"}],"replies":[{"embeddable":true,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/comments?post=176223"}],"version-history":[{"count":2,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/posts\/176223\/revisions"}],"predecessor-version":[{"id":176226,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/posts\/176223\/revisions\/176226"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/media\/175669"}],"wp:attachment":[{"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/media?parent=176223"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/categories?post=176223"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/tags?post=176223"},{"taxonomy":"product_categories","embeddable":true,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/product_categories?post=176223"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/coauthors?post=176223"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}