Ce 28 février 2026 marquait le début d'une nouvelle séquence d'affrontements militaires entre USA/Israël et l'Iran (guerre ou opération de guerre).
Sur le plan "cyber" on faisait état le 28 février 2026 d'un blackout total de l'internet en Iran. Selon l'agence FARS, le pays a subi de nombreuses cyberattaques. (contre des agences de presse, les infrastructures critiques, les systèmes de communication militaires, l'aviation, piratage par Israël de l'application pour mobiles BadeSaba qui indique aux fidèles les heures de prière, remplaçant les contenus par des messages appelant les militaires à faire défection, piratage par le Mossad des caméras de circulation de Téhéran pour préparer l'attaque contre Ali Khamenei; le 4 mars Israël annonce avoir bombardé le QG des forces cyber iraniennes; etc. ) Opérations de guerre électronique, cyber-attaques, ont été déployées pour réduire les capacités de la défense iranienne, limitant ses capacités de frappes par missiles notamment. La coupure de l'internet iranien pourrait être le fait des autorités iraniennes elles-mêmes (comme elles le firent en 2025), afin de bloquer les attaques; mais ici elle semblerait plutôt résulter de la vague de cyberattaques massives qu'a lancées Israël.
(source: https://www.bbc.com/news/live/cn5ge95q6y7t) Blackhout au jour 1
... et blackout au jour 4... (source: https://mastodon.social/@netblocks/116164078882631027)
Rappelons que l'Iran a déjà connu des périodes, parfois longues, de shutdown de ses connexions internet. En janvier 2026, le blackout a duré près de 20 jours, au moment des soulèvements de population et de répression par les autorités du pays.
(source: https://mastodon.social/@netblocks/tagged/Iran)
Les Etats-Unis pour leur part avaient déjà eu recours à des cyberattaques pour perturber les défenses iraniennes lors de leurs affrontements en 2025. Les autorités iraniennes avaient alors coupé internet.
Les cyber-attaques que l'on observe lors de ces phases de combat ont été précédées, sur de longues périodes dans le cas des tensions avec l'Iran, de cyber-opérations plus ou moins destructrices et perturbatrices, visant les systèmes de défense iraniens et menées par le cyber-commandement américain (exemple: les cyberattaques de 2019). Israël est également impliqué dans ces manœuvres. Les cyber-opérations en cours prolongent celles qui ont débuté en janvier 2026 (piratage des communications par satellites iraniennes, diffusion de messages à la population appelant à renverser le régime).
Sur le plan cybernétique, les réactions iraniennes pourraient se traduire par des actions cybercriminelles ou des cyberattaques étatiques masquées: les hackers iraniens ou pro-iraniens pourraient mener des attaques DDoS ou de ransomware contre les pays impliqués dans l'opération militaire. On observe des actions menées par des hackers iraniens ou pro-iraniens contre Israël, seuls ou en coopération (on évoque la constitutions de coopérations récentes entre groupes pro-iraniens et russes pour mener des opérations). Avec la destruction des forces de commandement iraniennes (nous laissons un conditionnel, il convient encore d'être prudent sur l'état réel de la situation), le pilotage jusqu'alors centralisé des cyber-opérations serait désormais remplacé par des actions non coordonnées d'hacktivistes sur les réseaux. Mais que les opérations soient militaires ou d'hacktivistes, elles sont surtout limitées de l'intérieur même du pays, en raison de l'état de fonctionnement de l'internet.
Les conséquences pour le reste du monde peuvent également être de nature économique: 128 milliards de dollars de cryptomonnaies auraient été perdus suite à l'attaque contre l'Iran. Des infrastructures essentielles au cyberespace peuvent également être touchées, physiquement, par les bombardements (data centers d'Amazon détruits aux Emirats arabes).
Dans l'immédiat doivent être considérés tous les Etats impliqués dans le conflit en cours: pays touchés par les représailles iraniennes, pays soutenant Israël dans la région, pays adverses, etc. Tous ces pays sont susceptibles de mener ou subir des cyber-opérations. Sont impliqués dans les attaques cinétiques en cours: Israël, Iran, Liban, Jordanie, Arabie Saoudite, Bahrain, Qatar, Emirats Arabes Unis, Oman...
- Le groupe de ransomware Handala (pro-iranien, pro-palestinien) (aka Handala Hack Hack Team, Hatef, Hamsa) attaque Israel Opportunity Energy (2 mars 2026)
- Aramco (Arabie Saoudite) piraté (3 mars 2026) par Handala
- Sharjah National Oil Corporation (UAE) piraté (2 mars 2026) par Handala
- L'entreprise israélienne Ramet Trom victime du ransomware Incrasom (28 février 2026)
- ...
Les victimes de ces cyberattaques sont-elles ciblées, ou prises dans les filets d'attaques plus larges? Les attaques sont-elles motivées politiquement, ou simplement opportunistes? Sont-elles le bras armé d'Etats ou de la pure cybercriminalité? Ou un mélange des deux?
