Le trafic malveillant sur Internet a augmenté de 245 % depuis le début des attaques contre l’Iran par Israël et les États-Unis le 28 février, selon l’un des plus grands fournisseurs de réseaux de diffusion de contenu au monde.
Akamai Technologies a indiqué qu’au cours de la période, le trafic de reconnaissance automatisée a augmenté de 65 %, les tentatives de collecte d’informations d’identification de 35 %, l’analyse de l’infrastructure pour les services exposés de 52 %, le trafic de découverte de botnets de 70 % et la reconnaissance de déni de service de 38 %.
Le conflit au Moyen-Orient a eu des répercussions sur les secteurs du voyage, de l’hôtellerie et de l’énergie de l’économie mondiale, ont noté les auteurs du blog Sandeep Rath, Nitin Singla, Ankita Kharya et Ryan Gao.
Plus inquiétant encore, ont-ils ajouté, est l’augmentation significative de la cybercriminalité émanant d’acteurs étatiques et d’hacktivistes motivés par des idéologies, qui pourraient opérer depuis une toute autre partie de la planète pour orchestrer des attaques très sophistiquées.
« Akamai a observé une augmentation significative des cyberactivités malveillantes dans plusieurs domaines depuis février 2026 », a déclaré Kharya, directeur du développement de produits, à TechNewsWorld. « Le moment choisi pour l’augmentation de l’activité suggère que le récent pic pourrait être lié au conflit au Moyen-Orient. »
Elle a ajouté que plusieurs groupes hacktivistes, dont Noname057(16), Server Killers, 313 team, Keymous+ et d’autres, ont revendiqué une activité accrue, mais Akamai n’a pas été en mesure de confirmer ces affirmations de manière indépendante.
Le conflit au Moyen-Orient déclenche une vague de cyberattaques
« Le conflit est indéniablement le catalyseur de cette poussée », a déclaré Alex Pembrey, directeur principal du renseignement opérationnel sur les menaces chez NCC Group, un cabinet mondial de conseil en cybersécurité.
« Après le lancement des opérations Epic Fury et Roaring Lion le 28 février, il y a eu une mobilisation massive de la salle des opérations électroniques, un centre de coordination créé spécifiquement pour synchroniser les opérations hacktivistes soutenues par (le Corps des Gardiens de la révolution islamique iranien) », a-t-il déclaré à TechNewsWorld.
Pembrey a ajouté que plus de 70 groupes hacktivistes, y compris des collectifs internationaux comme le pro-russe NoName057(16), ont orienté leur attention vers toute nation perçue comme alignée sur les États-Unis ou Israël.
« L’augmentation de 245 % reflète un effet d’entraînement dans lequel les représailles géopolitiques ne se limitent plus au théâtre de guerre immédiat mais sont dirigées vers la chaîne d’approvisionnement numérique mondiale et les infrastructures critiques des pays alliés », a-t-il déclaré.
« Le conflit est le catalyseur mais ce n’est pas le seul moteur », a ajouté Michael Bell, PDG de Suzu Labs, un fournisseur de services de cybersécurité basés sur l’IA, à Las Vegas.
Les cybergroupes iraniens sont actifs, a-t-il expliqué. Handala, par exemple, a frappé la société de technologie médicale Stryker avec une attaque wiper, et des mandataires hacktivistes ont mené des campagnes DDoS et d’identification depuis le début des attaques.
« Mais 86 % des adresses IP sources suivies par Akamai provenaient de l’extérieur de l’Iran », a-t-il déclaré à TechNewsWorld. « Le conflit a créé les conditions d’une poussée plus large, pas seulement iranienne. »
Attaques cinétiques paralysantes
Akamai a noté que les adresses IP attribuées à l’Iran représentaient une minorité du trafic malveillant observé depuis le début du conflit, tandis qu’une part plus importante provenait de Russie (35 %) et de Chine (28 %).
« Depuis le début du conflit, l’Iran a effectivement fermé près de 99,5 % de son infrastructure Internet », a expliqué Kharya d’Akamai. « Cela pourrait expliquer pourquoi nous observons un pourcentage plus faible de trafic malveillant provenant d’adresses IP iraniennes. »
« Cependant », a-t-elle ajouté, « les cybercriminels utilisent souvent des réseaux et des services proxy provenant d’appareils IoT insuffisamment protégés et de botnets d’autres pays pour orchestrer des attaques malveillantes. Cela pourrait expliquer pourquoi nous observons la majorité des attaques provenant d’espaces IP en Russie et en Chine ».
Pembrey de NCC a expliqué que la cyberoffensive initiale d’Israël a réussi à réduire la connectivité Internet intérieure de l’Iran entre 1 % et 4 % des niveaux normaux en ciblant le routage BGP et l’infrastructure DNS. « Cela a d’abord diminué la capacité de l’Iran à lancer des attaques à grand volume depuis ses propres frontières », a-t-il expliqué.
« Cependant », a-t-il poursuivi, « la panne quasi totale d’Internet en Iran est considérée comme étant en grande partie auto-imposée, l’État réduisant délibérément la connectivité pour contrôler le flux d’informations plutôt que comme le résultat de dommages aux infrastructures causés par des opérations cinétiques ou cybernétiques ».
Dégradé mais toujours dangereux
Malgré les perturbations intérieures, a noté Pembrey, les cybercapacités de l’Iran semblent dégradées mais restent opérationnelles, soutenues par un accès prépositionné à des réseaux étrangers, l’utilisation d’infrastructures externes et l’activité de sociétés écrans et d’acteurs mandataires.
« Le maintien de la connectivité Internet de base indique que l’Iran préserve la capacité d’étendre ses cyberopérations si nécessaire », a-t-il déclaré. « Cependant, la mesure dans laquelle les dommages aux infrastructures physiques ont limité cette capacité reste incertaine en raison de la visibilité limitée. »
Il a ajouté que la guerre semble créer une convergence d’intérêts stratégiques. « Des groupes pro-russes ont activement rejoint les acteurs alignés sur l’Iran dans des attaques DDoS et wiper en représailles », a-t-il expliqué.
« En outre », a-t-il poursuivi, « des acteurs parrainés par l’État, comme le Sandworm en Russie et le typhon Volt en Chine, utilisent le chaos régional comme écran de fumée. Ils se prépositionnent au sein des réseaux énergétiques et de télécommunications occidentaux, pas nécessairement pour lancer une frappe immédiate, mais pour garantir un levier stratégique à long terme pendant que les équipes défensives sont distraites par l’hacktivisme iranien à grand volume. »
La Russie et la Chine adoptent une approche consistant à « ne jamais laisser une bonne crise se perdre », a noté Bell. « Les deux pays hébergent d’énormes infrastructures proxy que les acteurs de la menace utilisent spécifiquement parce que ces gouvernements n’interviennent pas tant que les cibles sont occidentales », a-t-il déclaré.
« Lorsqu’un conflit attire l’attention de chaque SOC et cyber-équipe gouvernementale sur l’Iran, c’est l’occasion idéale pour les opérateurs russes et chinois d’augmenter la numérisation et la cartographie des cibles qui les intéressent depuis le début », a-t-il poursuivi. « Le conflit n’a pas créé leur intention. Il a créé leur opportunité. »
Les frontières s’estompent entre l’État et les hacktivistes
Bell a fait valoir que l’augmentation de 245 % sous-estime le risque réel, car les données d’Akamai sont fortement orientées vers la reconnaissance plutôt que vers les attaques destructrices.
Il a souligné que le trafic de découverte de botnets a augmenté de 70 % et que la reconnaissance automatisée a augmenté de 65 %. « C’est la phase de cartographie », a-t-il déclaré. « Les adversaires construisent actuellement des ensembles d’objectifs, et les organisations qui traitent cette période comme un avertissement plutôt que comme une crise sont celles qui seront prêtes lorsque la reconnaissance se transformera en action. »
« Nous assistons à la naissance d’un front hybride véritablement unifié, où les frontières traditionnelles entre guerre parrainée par l’État et hacktivisme populaire ont complètement disparu », a ajouté Pembrey.
« Le point le plus important à retenir de la situation actuelle n’est pas seulement le volume des attaques, mais aussi la synchronisation stratégique de plus de 70 groupes hacktivistes disparates via la salle des opérations électroniques », a-t-il soutenu. « Cela représente le passage d’acteurs chaotiques et indépendants à un plan d’action coordonné. »
Il a averti que les attaques bruyantes, comme celle contre Stryker, ne sont souvent qu’un écran de fumée pour un prépositionnement stratégique plus dangereux. « Alors que le monde est distrait par le conflit visible, des acteurs sophistiqués comme Volt Typhoon et Sandworm vivent de la terre au sein d’infrastructures critiques mondiales, s’intégrant dans les liaisons télémétriques et les dispositifs périphériques des réseaux électriques et des systèmes d’eau », a-t-il observé.
« Les organisations ne peuvent plus se permettre de considérer la cybersécurité comme une fonction de soutien défensive », a-t-il déclaré. « C’est une fonction de survie. »
