Bulletin sur les cybermenaces: Cybermenace de l’Iran visant le Canada émanant du conflit entre Israël et l’Iran

Vue d’ensemble de la cybermenace de l’Iran visant le Canada

Le 13 juin 2025, l’État d’Israël (Israël) a lancé des attaques militaires contre la République islamique d’Iran (Iran). Le 22 juin 2025, les États-Unis (É.-U.) ont mené des frappes aériennes sur des sites nucléaires iraniens.

À la suite de l’opération américaine contre l’Iran, la Cybersecurity and Infrastructure Security Agency des États-Unis, le Federal Bureau of Investigation, le Department of Defense Cyber Crime Center, la National Security Agency et le Department of Homeland Security ont émis un avertissement de représailles possibles sous forme d’activités de cybermenace menées par des auteurs de menace affiliés à l’Iran susceptibles de cibler des infrastructures essentielles des États-Unis et d’autres entités américaines.

Il est très peu probable que les infrastructures essentielles du Canada et d’autres réseaux canadiens soient des cibles de premier plan dans le cadre des représailles liées à l’activité de cybermenace menée par l’Iran. Le Canada n’a pas participé aux frappes des États-Unis et d’Israël contre l’Iran. Toutefois, nous estimons que le Canada serait vraisemblablement une victime indirecte ou collatérale des activités de cybermenace iraniennes qui visent intentionnellement les États-Unis. De plus, l’Iran continuera probablement à participer à des activités de cyberrépression transnationale ciblant des personnes au Canada qui sont une menace aux yeux du régime iranien, plus particulièrement celles qui plaident en faveur d’un changement de régime en Iran.

Activité de menace

  • Des auteurs de cybermenace parrainés par l’Iran lancent des cyberopérations d’information destructrices motivées par des objectifs géopolitiques et les intérêts du régime. L’Iran a tissé un réseau d’hacktivistes composé de personas et de canaux de médias sociaux qui exploitent les événements perturbateurs pour intimider les opposants du régime et influencer l’opinion publique.
  • Les auteurs de cybermenace parrainés par l’Iran sélectionnent de façon opportuniste des réseaux d’infrastructures essentielles (IE) et des dispositifs connectés à Internet mal connectés partout dans le monde, y compris ceux associés aux secteurs de l’énergie et de la gestion de l’eau. Les auteurs de cybermenace iraniens ont mené des attaques par déni de service, tenté de manipuler des systèmes de contrôle industriels et accédé à des réseaux pour chiffrer, effacer et divulguer des données.
  • Des hacktivistes pro-iraniens mènent des activités de cybermenace contre des rivaux de l’Iran, mais ils exagèrent souvent les répercussions de ces activités. En réponse aux frappes aériennes des États-Unis sur des sites nucléaires iraniens, des groupes d’hacktivistes pro-iraniens ont déclaré avoir avoir lancé des attaques par déni de service distribué (DDoS pour Distributed Denial-of-Service) contre des sites Web associés aux forces armées américaines, à des entreprises américaines de défense et à des institutions financières américaines.
  • Il est très peu probable que les infrastructures essentielles du Canada et d’autres réseaux canadiens soient des cibles de premier plan dans le cadre de représailles liées aux activités de cybermenace menées par des auteurs de cybermenace parrainés par l’Iran ou des hacktivistes pro-iraniens. Toutefois, le Canada serait vraisemblablement une victime indirecte ou collatérale des activités de cybermenace iraniennes qui visent intentionnellement les États-Unis. Le niveau de cette menace est élevé en raison de l’interconnectivité de l’Amérique du Nord dans des secteurs clés des infrastructures essentielles, comme les secteurs de l’énergie et des transports.
  • Les activités de cyberrépression transnationale iraniennes continueront probablement de représenter une menace pour le Canada. Il est probable que des auteurs de cybermenace parrainés par l’Iran mènent des activités de cyberespionnage contre des personnes au Canada qui sont une menace aux yeux du régime iranien, comme des activistes politiques, des journalistes et des défenseuses et défenseurs des droits de la personne. À la suite du conflit, nous estimons que les auteurs de cybermenace iraniens cibleront probablement les opposantes et opposants du régime à l’étranger, plus particulièrement ceux qui plaident en faveur d’un changement de régime en Iran.
Un groupe d’auteurs de cybermenace parrainé par l’Iran compromet des dispositifs fabriqués en IsraëlDe novembre 2023 à janvier 2024, des auteurs de cybermenace iraniens du Corps des Gardiens de la révolution islamique (CGRI) ont eu recours au personnage CyberAv3ngers pour mener une campagne à l’échelle mondiale afin de cibler et de défigurer des dispositifs mal sécurisés fabriqués en Israël. Ces dispositifs étaient utilisés dans les infrastructures essentielles. Une des victimes a été un organisme municipal américain responsable de l’eau qui utilisait des mots de passe par défaut.. Cette activité a vraisemblablement été menée en réponse au conflit entre Israël et le Hamas.

Caractéristiques de l’activité de cybermenace iranienne

Piratage psychologique convaincant

Les groupes de cybermenace iraniens s’appuient sur des techniques particulièrement sophistiquées de piratage psychologique combinées à des capacités de harponnage pour cibler des fonctionnaires et accéder à des réseaux gouvernementaux et privés de partout dans le monde. L’Iran axe ses efforts de piratage psychologique sur les relations professionnelles dans les plateformes de médias sociaux afin d’obtenir de l’information sur les organisations qui servent ses intérêts politiques, économiques et militaires, notamment dans les secteurs de l’aérospatiale, de l’énergie, de la défense, de la sécurité et des télécommunications.

Exploitation de vulnérabilités connues

Les auteurs de cybermenace iraniens exploitent des vulnérabilités connues en vue d’obtenir un accès initial aux systèmes, et ils profitent ensuite de cet accès pour mener des opérations subséquentes comme l’exfiltration ou le chiffrement de données, le déploiement de rançongiciels et l’extorsion. Les auteurs de cybermenace iraniens se servaient d’outils de balayage publics pour repérer leurs cibles, c’est-à-dire des systèmes exposés à Internet vulnérables en raison de leur configuration, par exemple des dispositifs qui recourent à des mots de passe faibles ou par défaut ou qui ne sont pas protégés par l’authentification multifacteur.

Cyberattaques perturbatrices et destructrices

Les auteurs de cybermenace iraniens opèrent habituellement au moyen d’attaques par déni de service distribué (DDoS) et de défiguration de site Web ou de dispositifs pour perturber temporairement les réseaux ciblés. Ils déploient également des rançongiciels et des maliciels effaceurs destructeurs et mènent des opérations de piratage et de divulgation contre des cibles compromises.

Ressources utiles

Consultez les ressources en ligne suivantes pour obtenir de plus amples renseignements, ainsi que des avis et conseils utiles :

Rapports et bulletins

  • Évaluations des menaces visant le Canada
  • Bulletins et publications de partenaires

Avis et conseils

À propos du présent document

Coordonnées

Pour toute question ou tout problème relatif au présent document, écrivez au Centre canadien pour la cybersécurité à contact@cyber.gc.ca.

Méthodologie et fondement de l’évaluation

Les jugements formulés dans la présente évaluation se basent sur de multiples sources classifiées et non classifiées. Ils sont fondés sur les connaissances et l’expertise du Centre canadien pour la cybersécurité (Centre pour la cybersécurité) en matière de cybersécurité. Le rôle que joue le CCC dans la protection des systèmes d’information du gouvernement du Canada lui confère une perspective unique des tendances observées dans un contexte de cybermenace, ce qui a contribué à la présente évaluation. Dans le cadre du volet du mandat du CST touchant le renseignement étranger, le Centre pour la cybersécurité tire parti d’informations précieuses sur les habitudes des adversaires dans le cyberespace. Bien que le Centre pour la cybersécurité soit toujours tenu de protéger les sources et méthodes classifiées, il fournit, dans la mesure du possible, les justifications qui ont motivé ses avis.

Les avis du Centre pour la cybersécurité sont basés sur un processus d’analyse qui comprend l’évaluation de la qualité de l’information disponible, l’étude de différentes explications, l’atténuation des biais et l’usage d’un langage probabiliste. Le personnel du Centre pour la cybersécurité utilise des formulations telles que « nous évaluons que » ou « nous jugeons que » pour présenter une évaluation analytique. Les qualificatifs tels que « possiblement », « probable » et « très probable » servent à évoquer une probabilité.

Le présent document est basé sur des renseignements disponibles en date du 27 juin 2025.

Lexique des estimations

Le tableau fait coïncider le lexique des estimations à une échelle de pourcentage approximative. Ces nombres ne proviennent pas d’analyses statistiques, mais sont plutôt basés sur la logique, les renseignements disponibles, des jugements antérieurs et des méthodes qui accroissent la précision des estimations.

La description détaillée suit immédiatement

Description detaillée – Lexique des estimations
  • 1 à 9 % Probabilité presque nulle
  • 10 à 24 % Probabilité très faible
  • 25 à 39 % Probabilité faible
  • 40 à 59 % Probabilité presque égale
  • 60 à 74 % Probabilité élevée
  • 75 à 89 % Probabilité très élevée
  • 90 à 99 % Probabilité presque certaine