Des selfies au cigare, un CV personnel et plus de 300 courriels vieux de dix ans. Vendredi, le groupe de pirates Handala Hack Team a étalé sur internet les données personnelles de Kash Patel, le directeur du FBI en personne. Le patron de la plus puissante agence de renseignement intérieur au monde n’a pas protégé sa propre boîte mail.
Un compte Gmail, pas un serveur fédéral
La cible n’était pas un système gouvernemental ultrasécurisé. Selon CNBC et la BBC, les pirates ont percé un simple compte Gmail personnel, celui que Patel utilisait avant de prendre la tête du FBI. Les courriels publiés couvrent une période allant de 2010 à 2019, bien avant sa nomination. Le bureau fédéral a confirmé la brèche dans un communiqué : les données sont « historiques par nature et ne contiennent aucune information gouvernementale ». Maigre consolation quand on dirige l’institution chargée de traquer les cybermenaces sur le sol américain.
Parmi les fichiers diffusés : des photos de Patel fumant le cigare, posant devant une décapotable ancienne, grimaçant pour un selfie avec une bouteille de rhum, ou encore debout à côté d’une voiture à plaque cubaine devant un bar historique de La Havane. CNN rapporte qu’une source proche du dossier a confirmé l’authenticité des images. Le cabinet d’analyse District 4 Labs a de son côté vérifié que l’adresse Gmail revendiquée par Handala correspondait à celle déjà exposée dans de précédentes fuites de données sur le dark web.
Handala, le bras numérique de Téhéran
Le groupe qui signe cette opération se présente comme un collectif de « hackers pro-palestiniens ». Les chercheurs occidentaux en cybersécurité y voient tout autre chose : selon Check Point, Handala est l’un des visages publics des unités de cyberrenseignement du gouvernement iranien. Gil Messing, directeur de cabinet de la firme israélienne, résume la stratégie à Reuters : « L’objectif est d’embarrasser les responsables américains et de les faire se sentir vulnérables. Les Iraniens tirent avec tout ce qu’ils ont. »
Le calendrier n’est pas anodin. Le 19 mars, le ministère américain de la Justice a annoncé la saisie de quatre noms de domaine liés à Handala. Selon CBS News, le domaine utilisé pour frapper Patel a été enregistré le jour même de cette annonce. Le message du groupe est transparent : « Nous avons décidé de répondre à ce spectacle ridicule d’une manière dont on se souviendra. »
Deux semaines plus tôt, le 11 mars, Handala revendiquait déjà le piratage de Stryker, un géant américain des dispositifs médicaux basé dans le Michigan, affirmant avoir effacé une masse colossale de données. Plus récemment, le groupe a prétendu avoir publié les informations personnelles de dizaines d’employés de Lockheed Martin stationnés au Moyen-Orient. Le fabricant d’armement a déclaré disposer de « politiques et procédures en place pour atténuer les cybermenaces ».
Trois directeurs piratés en onze ans
Le cas Patel frappe par sa banalité. En 2015, un groupe d’adolescents avait percé le compte AOL personnel de John Brennan, alors directeur de la CIA, publiant des documents sur des agents du renseignement américain. L’année suivante, en pleine campagne présidentielle, des hackers liés à la Russie avaient vidé la boîte Gmail de John Podesta, le directeur de campagne d’Hillary Clinton, alimentant WikiLeaks en dizaines de milliers de courriels.
Onze ans, trois brèches majeures sur des comptes personnels de responsables au sommet de l’appareil sécuritaire. Le point commun : aucune de ces intrusions n’a visé un système classifié. À chaque fois, c’est le maillon le plus banal qui cède, un compte de messagerie grand public protégé par un mot de passe ordinaire. Dave Schroeder, directeur des initiatives de sécurité nationale à l’Université du Wisconsin-Madison, l’explique à la BBC : « Les comptes personnels ne bénéficient pas du même niveau de protection et d’alertes que les systèmes gouvernementaux. Ils constituent donc une cible particulièrement attractive. »
La cyberguerre iranienne monte en puissance
Cette opération s’inscrit dans une escalade numérique plus large. Depuis le début des frappes américaines et israéliennes contre l’Iran fin février, les groupes de hackers liés à Téhéran ont d’abord gardé un profil bas, selon Reuters. Puis, à mesure que le conflit s’enlisait, les revendications se sont multipliées. Attaques contre des entreprises de défense, piratage d’équipements médicaux, publication de données militaires israéliennes : le front cyber est devenu le terrain de représailles le moins coûteux et le plus visible pour l’Iran.
Un rapport du renseignement américain consulté par Reuters début mars anticipait cette réponse. Selon ce document, l’Iran et ses mandataires pourraient riposter à l’élimination de l’ayatollah Khamenei par des « piratages de faible sophistication contre les réseaux numériques américains ». La prédiction s’est vérifiée, et le directeur du FBI en est devenu l’illustration la plus embarrassante.
Cynthia Kaiser, vice-présidente du Halcyon Ransomware Research Center et ancienne du FBI, tempère la portée technique de l’attaque auprès de la BBC. « Les courriels semblent très anciens. Il est probable qu’il s’agisse d’une compromission réalisée par d’autres groupes à une autre époque, recyclée aujourd’hui. » Autrement dit, Handala pourrait avoir exploité des données déjà en circulation plutôt que d’avoir percé un système en temps réel.
10 millions de dollars pour un nom
Le FBI n’est pas resté sans réaction. L’agence a annoncé que le Département d’État offrait une récompense pouvant atteindre 10 millions de dollars pour toute information permettant d’identifier les membres de Handala. La semaine précédente, Patel lui-même avait accusé l’Iran de « se cacher derrière de faux sites web et des menaces au clavier pour terroriser les Américains ».
Le problème dépasse la personne de Kash Patel. Reuters rapporte qu’un autre groupe, opérant sous le pseudonyme « Robert », avait affirmé l’an dernier détenir 100 gigaoctets de données volées à Susie Wiles, cheffe de cabinet de la Maison Blanche, et à d’autres proches de Donald Trump. L’agence de presse n’a pas pu vérifier cette affirmation, et le groupe n’a plus donné signe de vie depuis plusieurs mois. Mais la menace plane : en temps de guerre, les boîtes mail personnelles des dirigeants deviennent des munitions.
La prochaine cible pourrait être n’importe quel haut responsable américain dont l’adresse Gmail traîne dans une ancienne fuite de données. Le FBI traque les pirates iraniens dans le cyberespace. Mais pour l’instant, c’est le chasseur qui s’est fait voler ses clés.
