IRCNF
Security

Des hackers d'État iraniens ont compromis le réseau de transports de Los Angeles et effacé des données pour prolonger la perturbation

TechCrunch
Partager:
Des hackers d'État iraniens ont compromis le réseau de transports de Los Angeles et effacé des données pour prolonger la perturbation

Des hackers soutenus par l'État iranien ont pénétré les systèmes de la Los Angeles County Metropolitan Transportation Authority (LACMTA) en mars 2026, volant des données puis les effaçant délibérément pour maximiser la perturbation — une tactique qui a contraint l'agence à une opération de reprise de plusieurs semaines, selon un rapport de TechCrunch signé Lorenzo Franceschi-Bicchierai. L'attaque a été attribuée au ministère du Renseignement et de la Sécurité intérieure iranien (MOIS) par la firme israélienne de cybersécurité Gambit Security, opérant sous la fausse persona hacktiviste « Ababil of Minab ».

Cette révélation ajoute une cible majeure d'infrastructure publique américaine à la liste croissante des opérations cyber iraniennes qui se sont intensifiées en 2026 après des frappes militaires américaines et israéliennes contre l'Iran plus tôt dans l'année. Le réseau LA Metro est le deuxième plus grand système de transport public des États-Unis, desservant plus de 300 000 usagers quotidiens à travers bus, lignes de train léger et métro.

Comment l'attaque s'est déroulée

L'intrusion a commencé en mars 2026. Les attaquants ont obtenu un accès aux systèmes de la LACMTA, exfiltré des données, puis effacé les fichiers volés de l'infrastructure même de l'agence — une tactique à double impact conçue non seulement pour voler des informations, mais aussi pour dégrader la capacité opérationnelle de l'agence et allonger le délai de reprise. La LACMTA a confirmé la brèche en avril 2026. L'agence n'a pas divulgué publiquement l'étendue complète de ce qui a été volé ou effacé, mais la reprise après la destruction des données a pris plusieurs semaines.

Le groupe derrière l'attaque a utilisé le nom « Ababil of Minab » — une référence à une frappe aérienne américaine sur une école dans la ville iranienne de Minab qui a tué plus de 175 personnes, dont la plupart des enfants, lors de la confrontation militaire américano-iranienne début 2026. L'utilisation d'une fausse persona chargée de géopolitique est une tactique récurrente dans les opérations parrainées par l'État iranien : elle permet au MOIS de poursuivre des objectifs cyber stratégiques tout en créant un déni plausible et en amplifiant la valeur propagandiste des intrusions réussies.

Attribution et tendance plus large

L'attribution de l'attaque aux opérateurs du MOIS par Gambit Security s'inscrit dans un schéma documenté. Les acteurs de menace iraniens, y compris les groupes opérant sous l'égide du MOIS, ont de plus en plus adopté des tactiques de « hack-and-leak » et de « hack-and-destroy » contre les infrastructures critiques américaines — allant au-delà des opérations de renseignement qui caractérisaient l'activité iranienne antérieure vers des opérations conçues pour la perturbation et l'impact psychologique.

Le même scénario a été utilisé plus tôt en 2026 contre Stryker, l'entreprise américaine de technologie médicale, par un groupe opérant sous une couverture hacktiviste similaire. Dans les deux cas, l'intrusion initiale a été suivie d'une exfiltration de données, d'un effacement, et d'une revendication publique par la fausse persona pour maximiser l'attention et empêcher une attribution rapide. La tactique crée un écart entre la perturbation observée et la confirmation du parrainage étatique, gagnant du temps et semant la confusion dans la phase de réponse.

Le gouvernement américain avait directement signalé cette tendance. En avril 2026, le FBI, la CISA et des agences partenaires ont émis un avis conjoint avertissant les opérateurs d'infrastructures critiques américaines de l'escalade du ciblage cyber iranien, en désignant spécifiquement les secteurs des transports, de la santé et des services publics comme cibles prioritaires. L'avis faisait suite à une série de saisies de sites Web par le FBI, dirigées contre des groupes de hackers pro-iraniens plus tôt dans l'année.

Pourquoi les réseaux de transports sont ciblés

Les agences de transport public sont une cible attrayante pour les opérations de perturbation parrainées par l'État pour plusieurs raisons. Elles gèrent des réseaux de technologie opérationnelle (OT) vieillissants qui n'ont pas été conçus avec les exigences modernes de cybersécurité. Elles dépendent fortement de systèmes IT et OT interconnectés pour la planification, la billetterie, les communications et la sécurité. Et parce qu'elles desservent de grandes populations urbaines, les perturbations réussies génèrent une visibilité publique significative — ce qui est le but pour un acteur étatique cherchant un impact psychologique plutôt qu'une collecte discrète de renseignements.

La composante de destruction de données dans l'attaque de la LACMTA est particulièrement notable. Contrairement aux ransomwares, où une récupération est en principe possible après paiement d'une rançon, l'effacement délibéré des données est irréversible sans sauvegardes fonctionnelles. Si les systèmes de sauvegarde de la LACMTA ont également été compromis, le délai de reprise de plusieurs semaines reflète le temps nécessaire pour reconstruire les systèmes à partir de sauvegardes partielles ou à partir de zéro — un résultat bien plus dommageable qu'un incident typique de ransomware.

Ce que les autres opérateurs d'infrastructures doivent en retenir

L'attaque de la LACMTA renforce plusieurs leçons qui s'appliquent largement aux opérateurs d'infrastructures critiques. Premièrement, les acteurs de menace iraniens utilisent des événements géopolitiques — les frappes militaires américaines sur l'Iran — comme déclencheurs opérationnels pour des campagnes cyber qui suivent rapidement. Les organisations dans les secteurs précédemment avertis par des avis fédéraux devraient traiter l'environnement géopolitique actuel comme une période de menace élevée, et non comme une ligne de base.

Deuxièmement, l'intégrité des sauvegardes est désormais une préoccupation de premier ordre dans la défense contre les ransomwares et les attaques destructrices. L'efficacité d'une attaque par effacement de données dépend entièrement de la capacité de la cible à récupérer à partir de sauvegardes hors ligne, immuables et déconnectées (air-gapped). Les organisations qui n'ont pas testé leur processus de restauration de sauvegarde dans des conditions simulées de perte d'infrastructure devraient considérer cette lacune comme urgente.

Troisièmement, le schéma de fausse persona hacktiviste signifie que les revendications publiques initiales de responsabilité de groupes inconnus ne doivent pas être prises au pied de la lettre. L'attribution prend du temps, et le délai entre une attaque et la confirmation du parrainage étatique est une caractéristique de la conception de l'opération, pas un bug.

securityIrancyberattackcritical-infrastructureLACMTAMOISstate-sponsored

Originally reported by TechCrunch. Read the original article for additional details.

View original source
Partager:
Des hackers d'État iraniens ont compromis le réseau de transports de Los Angeles et effacé des données pour prolonger la perturbation | IRCNF - Intelligent Reliable Custom Next-gen Frameworks