Imaginez recevoir un message WhatsApp anodin contenant un lien promettant une réunion virtuelle urgente ou une information capitale. Vous cliquez, pensant aider un contact important… et en quelques secondes, votre compte Gmail est compromis, votre WhatsApp détourné, votre localisation transmise en temps réel et même votre caméra activée à votre insu. Cette scène n’est pas tirée d’un thriller hollywoodien, mais bien d’une campagne de phishing très réelle qui a touché des personnalités influentes à travers tout le Moyen-Orient en 2025-2026.

Entre activistes iraniens en exil, hauts responsables politiques libanais, dirigeants d’entreprises stratégiques israéliennes et universitaires spécialisés en sécurité nationale, les cibles n’avaient rien d’anodin. Derrière ce qui ressemble à une simple escroquerie se cache peut-être l’une des opérations de cyberespionnage les plus discrètes et les plus efficaces de ces derniers mois.

Une attaque discrète mais redoutablement efficace

Le point de départ de cette histoire commence par un simple message WhatsApp reçu par Nariman Gharib, activiste iranien basé au Royaume-Uni. Le lien envoyé semblait provenir d’un contact de confiance et promettait l’accès à une salle de réunion virtuelle. En cliquant, la machine infernale se mettait en route.

Ce que les victimes ignoraient, c’est que ce lien les dirigeait vers une page piégée utilisant un sous-domaine DuckDNS – un service légitime souvent détourné par les cybercriminels car il permet de masquer facilement l’adresse IP réelle du serveur malveillant.

Le subterfuge technique en détail

Une fois sur la fausse page, plusieurs scénarios pouvaient se produire selon le profil détecté :

  • Une page de connexion Gmail parfaitement imitée demandait identifiant et mot de passe
  • Une seconde étape réclamait le code de validation à deux facteurs envoyé par SMS
  • Une fausse interface WhatsApp proposait de scanner un QR code pour « rejoindre une réunion »
  • Une demande de permission d’accès à la localisation, au micro et à la caméra apparaissait subtilement

Le code source de la page, analysé par plusieurs chercheurs indépendants, révélait une mécanique bien huilée : chaque saisie était transmise en temps réel à un serveur non protégé. Mieux (ou pire), une simple modification de l’URL permettait d’accéder à un fichier texte contenant l’intégralité des informations volées : plus de 850 lignes recensant noms d’utilisateur, mots de passe, codes 2FA, agents utilisateurs et même des tentatives infructueuses.

« Le serveur était littéralement ouvert à tous. N’importe qui pouvait voir les credentials en clair. C’est d’un amateurisme déconcertant… ou d’une arrogance assumée. »

Runa Sandvik, chercheuse en cybersécurité

Qui sont les victimes ?

Parmi les victimes identifiées (dont l’identité reste anonymisée par respect et par sécurité), on retrouve :

  • Un haut fonctionnaire libanais membre du gouvernement
  • Le dirigeant d’une entreprise israélienne spécialisée dans les drones militaires
  • Plusieurs universitaires travaillant sur des questions de sécurité nationale au Moyen-Orient
  • Des membres de la diaspora kurde et iranienne très actifs sur les réseaux
  • Au moins un journaliste d’investigation
  • Des profils américains ou disposant de numéros américains

Le spectre est large, mais une constante apparaît : ces personnes ont toutes un lien, direct ou indirect, avec les affaires iraniennes, les tensions régionales ou les questions de sécurité au Moyen-Orient.

Espionnage d’État ou crime organisé ?

C’est la grande question que tout le monde se pose. Deux hypothèses principales s’affrontent.

Hypothèse 1 – Opération étatique (très probable)

Le Corps des Gardiens de la révolution islamique (IRGC) est connu pour ses campagnes de spear-phishing très ciblées contre des opposants, journalistes et chercheurs. Gary Miller, expert au Citizen Lab, note que l’attaque présente « tous les marqueurs d’une opération liée à l’IRGC » : ciblage précis, combinaison credential stuffing + hijacking WhatsApp, collecte de localisation et d’enregistrements multimédias.

Le contexte politique renforce cette piste : l’Iran traversait alors la plus longue coupure internet nationale de son histoire, accompagnée de manifestations massives et de répression violente. Accéder aux communications privées d’influenceurs de la diaspora et de décideurs régionaux représentait un intérêt stratégique majeur.

Hypothèse 2 – Cybercrime à but lucratif

Certains éléments penchent vers une opération criminelle classique : les domaines ont été déposés dès novembre 2025 (et un dès août), bien avant le pic des manifestations. Les noms de domaine (alex-fabow.online, meet-safe.online, whats-login.online…) suivent un schéma typique des campagnes de phishing-as-a-service. Ian Campbell, analyste chez DomainTools, classe ces infrastructures comme « risque moyen à élevé » et typiques du cybercrime financier.

Mais alors pourquoi s’intéresser autant à la localisation, aux photos et aux enregistrements audio ? Ce comportement est atypique pour un pur voleur de cryptomonnaies ou de comptes bancaires.

Une hybridation de plus en plus courante

La troisième piste, et sans doute la plus réaliste, est celle d’une externalisation par un État vers des groupes criminels. Les États-Unis ont déjà sanctionné plusieurs sociétés iraniennes servant de façade à l’IRGC pour mener des opérations de phishing et d’espionnage tout en conservant un semblant de déni plausible.

Ce modèle « crime-as-a-proxy » permet à un État de sous-traiter les opérations salissantes à des acteurs motivés par l’argent, tout en gardant ses propres unités cyber à l’abri des représailles.

Comment se protéger face à ce type d’attaque ?

Même les personnes les plus averties peuvent se faire piéger. Voici les réflexes à adopter immédiatement :

  • Ne jamais cliquer sur un lien reçu par WhatsApp sans vérifier l’identité de l’expéditeur par un autre canal.
  • Désactiver les permissions de localisation et de caméra/micro dans le navigateur pour les sites non fiables.
  • Utiliser un mot de passe unique par service + gestionnaire de mots de passe.
  • Activer la clé de sécurité physique (YubiKey, Titan, etc.) plutôt que le SMS pour la double authentification.
  • Sur WhatsApp, activer la vérification en deux étapes et vérifier régulièrement les appareils connectés (Paramètres → Appareils liés).
  • Installer un bloqueur de contenu et un VPN de confiance.

En cas de doute sur un QR code reçu, ne le scannez jamais directement. Prenez une capture d’écran et analysez-la d’abord sur un appareil isolé.

Leçons pour les entreprises et les gouvernements

Cette campagne démontre une nouvelle fois que les messageries chiffrées de bout en bout ne protègent pas contre les attaques de type « device takeover » ou « session hijacking ». Les organisations doivent désormais inclure dans leur stratégie de sécurité :

  • Des campagnes régulières de sensibilisation très ciblées (spear-phishing simulations)
  • La supervision active des appareils liés sur WhatsApp, Signal, Telegram
  • L’interdiction progressive des SMS comme second facteur
  • La mise en place de politiques strictes sur l’usage des navigateurs et des permissions web

Les États, eux, doivent accélérer le partage de renseignements sur les infrastructures malveillantes (domaines, IPs, hashes de pages de phishing) pour permettre aux fournisseurs comme DuckDNS de réagir plus rapidement.

Et maintenant ?

Le site de phishing a été mis hors ligne – probablement après que TechCrunch et d’autres chercheurs ont commencé à en parler publiquement. Mais rien ne garantit que la même infrastructure ne réapparaisse sous un autre nom de domaine dans les semaines à venir.

Ce qui est certain, c’est que les acteurs derrière cette campagne ont démontré une capacité à viser très précisément des individus à forte valeur informationnelle, tout en utilisant des techniques finalement assez basiques… mais terriblement efficaces quand elles sont bien exécutées.

Dans un Moyen-Orient toujours plus polarisé, où chaque information peut devenir une arme, la frontière entre cybercriminalité et cyberespionnage n’a jamais été aussi poreuse. Et les prochains messages WhatsApp que vous recevrez pourraient bien en être la preuve.

Restez vigilants. Vérifiez toujours. Et surtout… ne cliquez pas trop vite.

avatar d’auteur/autrice
Steven Soarez
Passionné et dévoué, j'explore sans cesse les nouvelles frontières de l'information et de la technologie. Pour explorer les options de sponsoring, contactez-nous.
Voir la biographie complète

Tags:

, , , ,