Vendredi 5 juin 2026 · Analyse stratégique indépendante
À propos Conditions RSS Accès membres
ISS
Institut des Sciences Stratégiques
Géopolitique · Défense · Prospective
 728 analyses publiées
Fil d'actualité
Sécurité maritime et contrôle des routes maritimes — Djibouti, archétype du « système nodal » des empires logistiquesAfrique du Sud — Afrique du Sud : le coût diplomatique du non-alignementAlgérie — Criminaliser le boycott : la dernière arme de l'opposition confisquéeAlgérie — Le Polisario, les drones et le sable : anatomie d'une guerre rouverteAngola — Angola : une puissance moyenne devenue médiateur régionalArménie — L'accord de paix avec l'Azerbaïdjan : une victoire pour Bakou ?
Partager𝕏in
Géopolitique & États · Iran

Cyber iranien : offensive régionale, répression interne, vraies failles

Banque Sepah paralysée, 90 millions de cryptos brûlés, internet coupé à 90 % : le cyber iranien sait frapper et surveiller, mais la guerre de 2025 a révélé ses vulnérabilités.

Par ISS10 décembre 2024, mis à jour le 4 juin 2026Lecture 6 min
Salle d'opérations cybernétiques avec écrans de code et cartes numériques.
Salle d'opérations cybernétiques avec écrans de code et cartes numériques. (Image d'illustration IA © ISS 2024)

À retenir

  1. Les capacités cyber iraniennes servent trois fronts : projeter la puissance régionale, surveiller la population et mener des opérations d'influence par l'IA.
  2. Les Gardiens de la révolution pilotent des groupes redoutés comme APT35 (Charming Kitten) et APT42, spécialisés dans l'espionnage et le ciblage des dissidents.
  3. La guerre de juin 2025 a exposé les failles iraniennes : le groupe pro-israélien Predatory Sparrow a paralysé la banque Sepah et brûlé près de 90 millions de dollars de cryptomonnaies liées aux Gardiens.
  4. En janvier 2026, Téhéran a réduit son trafic internet international d'environ 90 % au nom de la défense contre les cyberattaques.

En juin 2025, alors que les bombes pleuvaient sur l’Iran, une autre bataille se livrait dans les serveurs. En quelques heures, la paie des Gardiens de la révolution s’est figée, les distributeurs de billets se sont éteints et 90 millions de dollars de cryptomonnaies sont partis en fumée. Le cyber iranien, longtemps redouté pour ses offensives, venait de découvrir l’ampleur de ses propres failles. Plongée dans une arme à double tranchant.

Trois fronts, une même doctrine

Le cyber iranien ne se résume pas à la défense des infrastructures. Il sert trois objectifs entrelacés : projeter la puissance régionale, surveiller la population et mener des opérations d’influence. Selon le Middle East Institute, l’originalité de Téhéran ne tient pas à l’invention de nouveaux outils, mais à leur usage simultané et coordonné — influence, répression, renseignement et coercition convergeant en temps réel, sous un pilotage stratégique de l’État1.

Au cœur du dispositif, les Gardiens de la révolution. L’IRGC entretient l’une des capacités offensives les plus visibles du pays, associée à l’espionnage, aux opérations d’influence et aux actions perturbatrices à motivation politique2. Cette centralisation reflète l’emprise des Gardiens sur tout l’appareil sécuritaire, déjà documentée dans notre analyse de leur rôle dans la politique étrangère iranienne. Le cyber est devenu un prolongement naturel de la guerre asymétrique iranienne : peu coûteux, déniable, à fort effet.

Un arsenal de groupes spécialisés

Derrière les sigles se cachent des équipes redoutées. APT35 — alias Charming Kitten ou Mint Sandstorm — mène depuis des années des campagnes d’hameçonnage ciblé contre diplomates, journalistes, chercheurs et milieux politiques2. APT42 est particulièrement associé à la surveillance et à l’ingénierie sociale visant dissidents et activistes2. À leurs côtés opèrent APT34, APT39, MuddyWater ou encore Cotton Sandstorm, mêlant espionnage et opérations d’influence2.

Ces groupes ne dorment pas. De fin 2024 à fin 2025, APT35 a maintenu une campagne d’espionnage continue et techniquement évolutive, déployant notamment BellaCPP, une nouvelle version de son implant établi2. La nouveauté de 2025, c’est l’irruption de l’intelligence artificielle : Téhéran déploie désormais des outils d’IA pour produire de la désinformation à destination des publics israélien et occidental, passant du trolling rudimentaire à une véritable « guerre de la perception » soutenue1. Cette montée en gamme s’accompagne d’un écosystème de groupes « hacktivistes » mobilisables à la demande, dont l’analyse de la cyber-guerre iranienne montre l’imbrication avec l’appareil d’État.

L’épreuve de la guerre l’a confirmé. L’analyse de plus de 250 000 messages Telegram émanant de plus de 178 groupes hacktivistes a révélé une mobilisation éclair pendant le conflit de juin 2025 : reconnaissance, campagnes de déni de service, défigurations de sites et vols de données, coordonnées avec les opérations militaires sur le terrain3. Le cyber iranien n’est donc pas un silo isolé : il fonctionne en symbiose avec la stratégie militaire globale, brouillant la frontière entre acteurs étatiques et supplétifs « volontaires ».

Le choc de la guerre des 12 jours

Puis vint la démonstration inverse. La guerre de juin 2025 a révélé que l’attaquant pouvait devenir cible. Peu après les frappes israéliennes, le groupe Predatory Sparrow — que les analystes estiment lié à Israël — a cyberattaqué la banque Sepah, institution financière centrale des Gardiens, perturbant ses services et revendiquant l’effacement de ses données4.

L’effet domino fut spectaculaire. En frappant Sepah, les pirates ont rendu inopérante la paie militaire iranienne, plongé les distributeurs dans le noir et paralysé les services en ligne5. Dans la foulée, ils ont pénétré Nobitex, la plateforme dominante par laquelle transitent près de 90 % des transactions crypto du pays, pour en extraire puis détruire environ 90 millions de dollars d’actifs liés aux fonds de l’IRGC6. La banque Melli, pourtant non visée directement, n’a pu satisfaire la demande de liquidités ; le rial a chuté de plus de 12 % et les autorités ont suspendu la Bourse de Téhéran5. La leçon est rude : l’arme cyber iranienne protège mal son propre camp.

Le cyber comme outil de contrôle interne

Si l’offensive a montré ses limites, la répression numérique, elle, fonctionne à plein. Les outils cyber soutiennent la surveillance, le contrôle de l’information et la perturbation des réseaux d’opposition7. Des groupes comme APT34, APT35, APT39 et APT42 traquent les dissidents en ciblant des entités détenant de vastes bases de données : fournisseurs d’accès, systèmes médicaux, transports, télécommunications7.

L’arme ultime reste la coupure. En janvier 2026, les autorités ont mis en place un filtrage centralisé au niveau de la passerelle nationale, combinant empoisonnement DNS, listes blanches de protocoles et inspection profonde des paquets pour bloquer les services étrangers et neutraliser les outils de contournement8. Résultat : une réduction d’environ 90 % du trafic internet international du pays, sans le déconnecter totalement, officiellement pour « dissuader les cyberattaques israéliennes »8. Le prétexte sécuritaire masque mal la fonction réelle : museler la contestation.

Ce verrouillage s’appuie sur un projet de longue haleine : le « réseau national d’information », sorte d’intranet iranien permettant de maintenir les services intérieurs même lorsque l’accès au web mondial est coupé. En période de crise, le pouvoir peut ainsi isoler la population de l’extérieur tout en préservant ses propres outils de surveillance et de propagande. C’est l’aboutissement d’une doctrine où la cybersécurité se confond avec la sécurité du régime : protéger l’État moins des pirates étrangers que de ses propres citoyens connectés.

Une puissance réelle mais surévaluée

Le cyber iranien est un paradoxe. Capable de campagnes d’espionnage soutenues, d’opérations d’influence à l’IA et d’une répression interne implacable, il s’est pourtant révélé incapable de protéger ses propres institutions financières lors du test grandeur réelle de 2025. Cette asymétrie invite à la nuance : Téhéran est un acteur sérieux, mais pas le cybergéant que certains décrivent.

Le signal à surveiller n’est donc pas la prochaine attaque iranienne spectaculaire, mais la capacité du régime à colmater ses failles internes tout en maintenant sa pression sur les dissidents. Tant que l’Iran traitera le cyber comme un outil de survie du régime autant que de projection extérieure, ses adversaires garderont une longueur d’avance là où il est le plus exposé : chez lui. La prochaine guerre numérique se jouera peut-être autant sur ses serveurs que sur ceux de ses ennemis.

Pour aller plus loin

Questions fréquentes

Quels sont les principaux groupes de pirates liés à l'Iran ?

Les Gardiens de la révolution pilotent plusieurs groupes parmi les plus actifs : APT35 (alias Charming Kitten), spécialisé dans l'hameçonnage ciblé contre diplomates et journalistes ; APT42, associé à la surveillance des dissidents ; ainsi qu'APT34, APT39 et MuddyWater. Ils visent espionnage, vol d'identifiants et opérations d'influence.

Qui est Predatory Sparrow et qu'a-t-il fait en 2025 ?

Predatory Sparrow est un groupe que les analystes estiment lié à Israël. En juin 2025, après les frappes israéliennes, il a paralysé la banque Sepah — institution financière des Gardiens — bloquant la paie militaire, puis a pénétré la plateforme crypto Nobitex pour y détruire près de 90 millions de dollars d'actifs liés à l'IRGC.

Comment l'Iran utilise-t-il le cyber contre sa propre population ?

Le régime déploie des outils de surveillance, de contrôle de l'information et de répression des réseaux d'opposition. Des groupes comme APT42 ciblent les dissidents en exploitant de vastes bases de données. En janvier 2026, les autorités ont réduit le trafic internet international d'environ 90 % via filtrage centralisé, inspection profonde des paquets et empoisonnement DNS.

L'Iran utilise-t-il l'intelligence artificielle dans ses opérations ?

Oui. Téhéran déploie désormais des outils d'IA pour produire de la désinformation à destination des publics israélien et occidental. Selon les analystes, il est passé du simple trolling à des opérations psychologiques ciblées et soutenues, marquant une « guerre de la perception » plus sophistiquée qu'auparavant.

ISS
Rédaction · Analyse stratégique

L'Institut des Sciences Stratégiques publie des analyses indépendantes sur la géopolitique, la défense et les transformations du pouvoir au XXIe siècle.

ThèmesIranIsraëlCyberguerreDésinformationIntelligence artificielleSurveillanceTélécommunicationsGardiens de la révolution

Sources

  1. Middle East Institute, « Digital frontlines: What the 12-day war revealed about the evolution of Iran’s cyber strategy », MEI, 2025. https://mei.edu/publication/digital-frontlines-what-12-day-war-revealed-about-evolution-irans-cyber-strategy/ 2

  2. CSIS, « Demystifying Iranian Cyber Operations in the U.S.-Iran Conflict », Center for Strategic and International Studies, 2025. https://www.csis.org/analysis/demystifying-iranian-cyber-operations-us-iran-conflict 2 3 4 5

  3. NSFOCUS, « The Hacktivist Cyber Attacks in the Iran-Israel Conflict », NSFOCUS, 2025. https://nsfocusglobal.com/the-hacktivist-cyber-attacks-in-the-iran-israel-conflict/

  4. Cyber Law Toolkit (CCDCOE), « Predatory Sparrow’s operations against Iranian financial cyber infrastructure (2025) », cyberlaw.ccdcoe.org, 2025. https://cyberlaw.ccdcoe.org/wiki/Predatory_Sparrow%E2%80%99s_operations_against_Iranian_financial_cyber_infrastructure_(2025)

  5. « Israel-backed cyberattacks cripple IRGC finances », Iran International, 21 juillet 2025. https://www.iranintl.com/en/202507216971 2

  6. « Pro-Israel hackers destroy $90 million in Iran crypto exchange breach, analytics firm says », CNBC, 18 juin 2025. https://www.cnbc.com/2025/06/18/pro-israel-hackers-iran-crypto.html

  7. Trellix, « The Iranian Cyber Capability 2026 », Trellix Advanced Research Center, 2026. https://www.trellix.com/blogs/research/the-iranian-cyber-capability-2026/ 2

  8. « Iran’s January 2026 Internet Shutdown: Public Data, Censorship Methods, and Circumvention Techniques », arXiv, 2026. https://arxiv.org/html/2603.28753v1 2

À lire également

Rubrique Géopolitique & États →
Salle de contrôle informatique évoquant les opérations de cyber-guerre iraniennes.
Iran

La cyber-guerre iranienne : l'arme des faibles devenue redoutable

10 décembre 2024 · MàJ 4 JUIN 2026 · Lecture 6 min
Chaîne d'assemblage de drones militaires dans une usine d'armement iranienne.
Iran

L'industrie des armes iranienne : la débrouille érigée en doctrine

10 décembre 2024 · MàJ 4 JUIN 2026 · Lecture 6 min
Défilé de membres du Corps des Gardiens de la Révolution islamique en uniforme à Téhéran.
Iran

Les Gardiens de la Révolution, État dans l'État de la diplomatie iranienne

10 décembre 2024 · MàJ 4 JUIN 2026 · Lecture 6 min
La lettre de l'Institut

Recevez nos analyses chaque mercredi.

Une synthèse hebdomadaire des dynamiques géopolitiques, technologiques et de défense.

Adresse e-mail