Live IRMAS'S DESTRUCTION: ISLAND BY ISLAND
Live IRMAS'S DESTRUCTION: ISLAND BY ISLAND
Live IRMAS'S DESTRUCTION: ISLAND BY ISLAND

Les gouvernements mettent le gang du rançongiciel REvil hors ligne

Des responsables américains évoquent l'attaque du ransomware Colonial Pipeline lors d'une conférence de presse à Washington, D.C. le 7 juin 2021. (Reuters/Archive Photo)
Des responsables américains évoquent l'attaque du ransomware Colonial Pipeline lors d'une conférence de presse à Washington, D.C. le 7 juin 2021. (Reuters/Archive Photo)
Des responsables américains évoquent l'attaque du ransomware Colonial Pipeline lors d'une conférence de presse à Washington, D.C. le 7 juin 2021. (Reuters /Archive Photo)
Des responsables américains évoquent l'attaque du ransomware Colonial Pipeline lors d'une conférence de presse à Washington, D.C. le 7 juin 2021. (Reuters /Archive Photo)
Short Url

https://arab.news/nh8tn

Publié le Vendredi 22 octobre 2021
Reuters
Publié le

Les gouvernements mettent le gang du rançongiciel REvil hors ligne

  • Les cyberspécialistes des forces de l'ordre et du renseignement ont pu pirater l'infrastructure du réseau informatique de REvil, obtenant ainsi le contrôle d’un certain nombre de leurs serveurs
  • Une personne proche du dossier déclare qu'un partenaire étranger du gouvernement américain a effectué l'opération de piratage de l'architecture informatique de REvil
Publié le Vendredi 22 octobre 2021
Reuters

Le groupe de ransomware REvil a lui-même été piraté et mis hors ligne cette semaine par une opération menée dans plusieurs pays, selon trois cyberexperts du secteur privé travaillant avec les États-Unis et un ancien responsable.

D'anciens partenaires et associés du gang criminel dirigé par la Russie étaient responsables d'une cyberattaque sur le pipeline Colonial en mai qui a entraîné une pénurie généralisée de gaz sur la côte est des États-Unis. Parmi les victimes directes de REvil, on compte le grand emballeur de viande JBS. Le site Web «Happy Blog» du groupe criminel, utilisé pour divulguer des données sur les victimes et extorquer des entreprises, n'est plus disponible.

Les responsables déclarent que l'attaque sur le pipeline Colonial utilisait un logiciel de cryptage appelé «DarkSide», développé par les associés de REvil.

Le responsable de la stratégie de cybersécurité de VMware, Tom Kellermann, indique que les forces de l'ordre et les services de renseignement ont empêché le groupe d’attaquer d'autres entreprises.

«Le FBI, en collaboration avec le Cyber Command, les services secrets et des pays partageant les mêmes idées, se sont véritablement engagés dans des actions perturbatrices importantes contre ces groupes», déclare Tom Kellermann, conseiller des services secrets américains sur les enquêtes sur la cybercriminalité. «REvil était en tête de liste.»

Une personnalité de la direction connue sous le nom de «0_neday», qui avait contribué à relancer les opérations du groupe après une précédente fermeture, précise que les serveurs de REvil ont été piratés par une partie non identifiée.

«Le serveur a été compromis et ils me cherchaient», a écrit 0_neday sur un forum sur la cybercriminalité le week-end dernier et repéré pour la première fois par la société de sécurité Recorded Future. «Bonne chance à tous; je pars.»

Les tentatives du gouvernement américain pour arrêter REvil, l'un des pires gangs de ransomware («rançongiciel») parmi les dizaines qui travaillent avec des pirates pour pénétrer et paralyser des entreprises du monde entier, se sont accélérées après que le groupe a compromis la société américaine de gestion de logiciels Kaseya en juillet.

Cette brèche a ouvert l'accès à des centaines de clients de Kaseya à la fois, ce qui a conduit à de nombreux appels d'urgence devant la multiplication des cyberincidents.

Clé de décryptage

À la suite de l'attaque de Kaseya, le FBI a obtenu une clé de décryptage universelle qui permettait aux personnes infectées via Kaseya de récupérer leurs fichiers sans payer de rançon.

Mais les responsables de l'application des lois ont d'abord conservé la clé pendant des semaines alors qu'ils poursuivaient discrètement les membres de REvil, a reconnu plus tard le FBI.

Selon trois personnes proches du dossier, des cyberspécialistes des forces de l'ordre et du renseignement ont réussi à pirater l'infrastructure du réseau informatique de REvil, obtenant ainsi le contrôle d’un certain nombre de leurs serveurs.

Après la mise hors ligne, en juillet, des sites Web que le groupe de pirates informatiques utilisait pour mener ses activités, le principal porte-parole du groupe, qui se fait appeler «Inconnu», a disparu d'Internet.

Lorsqu’un membre du gang 0_neday et d'autres ont restauré ces sites Web à partir d'une sauvegarde le mois dernier, ils ont redémarré sans le savoir certains systèmes internes qui étaient déjà contrôlés par les forces de l'ordre.

«Le gang de ransomware REvil a restauré l'infrastructure à partir des sauvegardes en supposant qu'elles n'avaient pas été compromises», déclare Oleg Skulkin, directeur adjoint de l'équipe chargée de la criminalistique numérique et de la réponse aux incidents chez Group-IB, dirigé par la Russie. «Paradoxalement, la tactique préférée du gang consistant à compromettre les sauvegardes s'est retournée contre eux.»

Des sauvegardes fiables constituent l'une des défenses les plus importantes contre les attaques de ransomware, mais elles doivent rester déconnectées des réseaux principaux faute de quoi elles peuvent également être cryptées par des extorqueurs tels que REvil.

Un porte-parole du Conseil de sécurité nationale de la Maison-Blanche a refusé de commenter spécifiquement l'opération.

«D'une manière générale, nous menons un effort gouvernemental global sur les ransomwares, notamment en perturbant l'infrastructure et les acteurs de ces derniers, en collaborant avec le secteur privé pour moderniser nos défenses et en créant une coalition internationale pour tenir les pays qui hébergent les acteurs des rançons responsables», déclare le porte-parole.

Le FBI a refusé de commenter.

Une personne proche du dossier déclare qu'un partenaire étranger du gouvernement américain a mené l'opération de piratage de l'architecture informatique de REvil. Un ancien responsable américain, qui a requis l'anonymat, déclare que l'opération est toujours en cours.

Ce succès s'explique par la détermination du sous-procureur général américain, Lisa Monaco, qui a estimé que les attaques de ransomware contre les infrastructures sensibles doivent être traitées comme un problème de sécurité nationale au même titre que le terrorisme, déclare M. Kellermann.

En juin, le sous-procureur général adjoint principal, John Carlin, a déclaré à Reuters que le ministère de la Justice donnait aux enquêtes sur les attaques de ransomware une priorité similaire.

Ces actions ont donné au ministère de la Justice et à d'autres agences une base légale pour obtenir l'aide des agences de renseignement américaines et du ministère de la Défense, souligne Tom Kellermann.

«Avant, vous ne pouviez pas pirater ces forums, et l'armée ne voulait pas s’en mêler. Depuis, les choses ont changé.»

 

Ce texte est la traduction d’un article paru sur Arabnews.com

MOTS-CLÉS: rançongiciels revil hackers

À lire aussi
Les téléphones de 5 ministres français infectés par le logiciel espion Pegasus
Washington appelle à un «effort mondial» contre les cyberattaques

«Continuez à manifester», «l'aide est en route», lance Donald Trump aux Iraniens

Les liaisons téléphoniques internationales, coupées depuis vendredi, ont été rétablies mardi depuis l'Iran vers l'étranger mais restent précaires, selon un journaliste de l'AFP à Téhéran. Dans la capitale, les forces de sécurité ont été mardi moins visibles aux principaux carrefours de Téhéran, a-t-il constaté. (AFP)
Les liaisons téléphoniques internationales, coupées depuis vendredi, ont été rétablies mardi depuis l'Iran vers l'étranger mais restent précaires, selon un journaliste de l'AFP à Téhéran. Dans la capitale, les forces de sécurité ont été mardi moins visibles aux principaux carrefours de Téhéran, a-t-il constaté. (AFP)
Short Url

https://arab.news/rssem

AFP
Publié le
  • La Maison Blanche avait affirmé lundi que la possibilité de frappes aériennes était toujours sur la table, mais que la diplomatie demeurait "la première option"
  • Donald Trump a par ailleurs annoncé des sanctions contre les partenaires commerciaux de l'Iran - des droits de douane de 25% prenant effet "immédiatement
Publié le Mercredi 14 janvier 2026
AFP

PARIS: Donald Trump a encouragé mardi les manifestants en Iran à renverser les institutions et a promis que "l'aide" arrivait, Téhéran dénonçant de son côté des "troubles orchestrés" pour servir de prétexte à une intervention militaire américaine.

"CONTINUEZ A MANIFESTER - PRENEZ LE CONTROLE DE VOS INSTITUTIONS!!!", a écrit le président américain sur son réseau Truth social, soulignant que "beaucoup d'aide est en route".

Le président américain a menacé plusieurs fois d'intervenir militairement depuis le début le 28 décembre du mouvement, l'un des plus vastes depuis la proclamation de la République islamique en 1979.

La mission iranienne à l'ONU a accusé mardi les Etats-Unis de chercher à renverser le régime par la force, "des troubles orchestrés et le chaos servant de modus operandi pour fabriquer un prétexte à une intervention militaire".

Fils de l'ancien chah d'Iran chassé du pouvoir en 1979 et figure de l'opposition iranienne en exil aux Etats-Unis, Reza Pahlavi a assuré mardi aux manifestants que "le monde n'a pas seulement vu et entendu votre voix et votre courage, maintenant il répond".

La répression a fait au moins 734 morts selon l'ONG Iran Human Rights (IHR) basée en Norvège, qui estime toutefois que le nombre réel de morts pourrait s'élever à plusieurs milliers.

Des rapports crédibles font état "de tueries à grande échelle menées par les forces de sécurité à travers le pays", affirme également l'ONG Human Rights Watch.

De nouvelles vidéos, authentifiées par l'AFP, sont apparues sur les réseaux sociaux montrant des dizaines de corps alignés dans une mosquée au sud de la capitale iranienne.

"Tirs au hasard" 

Les condamnations internationales ont afflué mardi: l'ONU s'est dit "horrifiée" et la présidente de la Commission européenne Ursula von der Leyen a dénoncé un bilan "effroyable" et dit plancher sur de nouvelles sanctions contre Téhéran.

L'UE et des capitales européennes ont convoqué les ambassadeurs iraniens pour dénoncer la "répression la plus brutale et la plus sanglante contre des manifestations" depuis des années, selon Londres.

La Maison Blanche avait affirmé lundi que la possibilité de frappes aériennes était toujours sur la table, mais que la diplomatie demeurait "la première option".

Donald Trump a par ailleurs annoncé des sanctions contre les partenaires commerciaux de l'Iran - des droits de douane de 25% prenant effet "immédiatement".

L'Iran reste privé d'internet depuis le 8 janvier. Des défenseurs des droits humains accusent Téhéran de chercher ainsi à masquer la répression.

L'IHR évoque 10.000 arrestations.

"La violence augmente, les arrestations aussi. Les oppresseurs tirent au hasard", relate Kian Tahsildari à Istanbul, relayant le témoignage d'amis à Mashad (nord-est de l'Iran).

Téhéran "prêt à toute éventualité" 

Les liaisons téléphoniques internationales, coupées depuis vendredi, ont été rétablies mardi depuis l'Iran vers l'étranger mais restent précaires, selon un journaliste de l'AFP à Téhéran.

Dans la capitale, les forces de sécurité ont été mardi moins visibles aux principaux carrefours de Téhéran, a-t-il constaté.

Les médias d'Etat diffusent en boucle des images des dégâts et rendent hommage aux membres des forces de sécurité tués.

Les autorités iraniennes ont annoncé la tenue mercredi d'une cérémonie funéraire géante à Téhéran en l'honneur des "martyrs" des derniers jours, en référence essentiellement à ceux-ci.

Depuis le début du mouvement, initialement lié au coût de la vie, le pouvoir dit comprendre les revendications portant sur des questions économiques mais accuse des "émeutiers" pilotés par l'étranger d'être à l'origine des violences.

Mardi, le chef de la diplomatie iranienne, Abbas Araghchi, a affirmé sur Al Jazeera que la décision de couper l'internet avait été prise en raison "d'opérations terroristes" dont "les ordres venaient de l'étranger".

"Nous sommes préparés pour toute éventualité et nous espérons que Washington fera un choix guidé par la sagesse. Peu importe quelle option ils choisiront, nous y sommes prêts", a-t-il ajouté.

Agé de 86 ans, l'ayatollah Khamenei a déjà été confronté à d'importants défis, notamment durant la guerre de 12 jours avec Israël en juin 2025, déclenchée par une attaque massive contre les installations militaires et nucléaires iraniennes.

Mais ces manifestations "représentent sans doute le défi le plus sérieux" pour le guide suprême "depuis des années, tant par leur ampleur que par leurs revendications politiques de plus en plus explicites", relève Nicole Grajewski, professeure au Centre de recherches internationales de Sciences Po.

Des analystes jugent cependant prématuré de prédire dans l'immédiat la chute du pouvoir théocratique iranien, soulignant que la République islamique dispose de solides leviers répressifs, à commencer par le Corps des Gardiens de la Révolution.

MOTS-CLÉS: Iran Téhéran trump Etats-Unis Donald Trump

À lire aussi
Des frappes en Iran sont toujours une option pour Trump, selon la Maison Blanche
Par AFP -
Partez maintenant! le message des États-Unis à leurs ressortissants en Iran
Par Arab News -

Des frappes en Iran sont toujours une option pour Trump, selon la Maison Blanche

Donald Trump envisage des frappes aériennes en Iran pour mettre fin à la répression des manifestations qui secouent la République islamique depuis le 28 décembre, a affirmé lundi la Maison Blanche, ajoutant toutefois qu'une voie diplomatique restait ouverte. (AFP)
Donald Trump envisage des frappes aériennes en Iran pour mettre fin à la répression des manifestations qui secouent la République islamique depuis le 28 décembre, a affirmé lundi la Maison Blanche, ajoutant toutefois qu'une voie diplomatique restait ouverte. (AFP)
Short Url

https://arab.news/6wk6j

AFP
Publié le
  • La répression des manifestations en Iran a fait plus de 600 morts depuis le début de la contestation selon une ONG
  • "Une chose dans laquelle le président Trump excelle est de garder toutes les options sur la table. Et les frappes aériennes sont l'une des très nombreuses options qui s'offrent au commandant en chef"
Publié le Mardi 13 janvier 2026
AFP

WASHNIGTON: Donald Trump envisage des frappes aériennes en Iran pour mettre fin à la répression des manifestations qui secouent la République islamique depuis le 28 décembre, a affirmé lundi la Maison Blanche, ajoutant toutefois qu'une voie diplomatique restait ouverte.

La répression des manifestations en Iran a fait plus de 600 morts depuis le début de la contestation selon une ONG, la République islamique faisant face à l'un de ses plus importants mouvements de contestation depuis sa proclamation en 1979.

"Une chose dans laquelle le président Trump excelle est de garder toutes les options sur la table. Et les frappes aériennes sont l'une des très nombreuses options qui s'offrent au commandant en chef", a affirmé à la presse la porte-parole de la Maison Blanche, Karoline Leavitt.

Toutefois, elle a assuré que "la diplomatie (était) toujours la première option pour le président".

Selon elle, une voie diplomatique reste ouverte avec l'Iran, le pouvoir adoptant un "ton très différent" lors de discussions privées avec l'émissaire américain, Steve Witkoff.

"Ce que vous entendez de la part du régime iranien est très différent des messages que l'administration (américaine) reçoit en privé, et je pense que le président veut examiner ces messages", a-t-elle ajouté.

Donald Trump "ne souhaite pas voir des gens se faire tuer dans les rues de Téhéran, et malheureusement, c'est ce à quoi nous assistons actuellement", a également assuré Karoline Leavitt.

Le ministère iranien des Affaires étrangères a lui déclaré lundi qu'un canal de communication était "ouvert" entre l'Iran et Steve Witkoff, malgré l'absence de relations diplomatiques entre les deux pays ennemis.

Le pouvoir cherche à présent à reprendre la main en faisant descendre dans les rues des milliers de ses partisans, après avoir imposé une coupure totale d'internet depuis le 8 janvier.

Le président américain avait annoncé dimanche qu'une réunion avec des responsables iraniens était "en cours de préparation", sans toutefois écarter l'option militaire. "Nous pourrions devoir agir avant une rencontre", avait-il avancé, en ajoutant que l'armée américaine étudiait des "options très fortes".

 

MOTS-CLÉS: Iran Etats-Unis

À lire aussi
Partez maintenant! le message des États-Unis à leurs ressortissants en Iran
Par Arab News -
Iran: le bilan des morts s'alourdit, le pouvoir appelle à des contre-manifestations
Par AFP -

Partez maintenant! le message des États-Unis à leurs ressortissants en Iran

Cette image, prise le 6 janvier 2026 à partir d'images UGC publiées le même jour sur les réseaux sociaux, montre les forces de sécurité iraniennes utilisant des gaz lacrymogènes pour disperser les manifestants au bazar de Téhéran. (Fichier/AFP)
Cette image, prise le 6 janvier 2026 à partir d'images UGC publiées le même jour sur les réseaux sociaux, montre les forces de sécurité iraniennes utilisant des gaz lacrymogènes pour disperser les manifestants au bazar de Téhéran. (Fichier/AFP)
Short Url

https://arab.news/88nu8

Arab News
Publié le
  • L'Iran ne reconnaissant pas la double nationalité et traitant les citoyens américains et iraniens ayant une double nationalité uniquement comme des ressortissants iraniens, le fait de montrer des liens avec les États-Unis pourrait conduire à la détention
  • Il a été conseillé aux citoyens américains de quitter le pays par voie terrestre, notamment via l'Arménie ou la Turquie, s'ils peuvent le faire en toute sécurité
Publié le Mardi 13 janvier 2026
Arab News

DUBAI: L'aide à l'alerte qui montre des liens avec les États-Unis peut conduire à la détention.
Les États-Unis ont demandé à leurs ressortissants en Iran de quitter le pays immédiatement, dans un contexte d'escalade des troubles.

"Quittez l'Iran maintenant", a déclaré l'ambassade virtuelle de Téhéran, gérée par le département d'État, dans une alerte de sécurité diffusée lundi, invitant les Américains à planifier leur départ sans l'aide du gouvernement américain.

L'alerte fait état d'une escalade des manifestations, d'un risque de violence, d'arrestations, de perturbations de l'Internet et d'un renforcement des mesures de sécurité.

L'Iran ne reconnaissant pas la double nationalité et traitant les citoyens américains et iraniens ayant une double nationalité uniquement comme des ressortissants iraniens, le fait de montrer des liens avec les États-Unis pourrait conduire à la détention.

Il a été conseillé aux citoyens américains de quitter le pays par voie terrestre, notamment via l'Arménie ou la Turquie, s'ils peuvent le faire en toute sécurité. Ceux qui ne sont pas en mesure de partir ont été invités à rester dans des lieux sûrs, à éviter les manifestations, à faire profil bas et à s'assurer un accès à la nourriture, à l'eau et aux médicaments.

Les États-Unis n'ont pas de relations diplomatiques ou consulaires avec l'Iran. L'ambassade de Suisse à Téhéran joue le rôle de puissance protectrice des États-Unis en cas d'urgence.

MOTS-CLÉS: Iran Etats-Unis Washington Téhéran

À lire aussi
Premières heures de semi-liberté pour Kohler et Paris à l'ambassade de France à Téhéran
Par AFP -
Iran: le bilan des morts s'alourdit, le pouvoir appelle à des contre-manifestations
Par AFP -

Les + lus

© 2026 propriété intellectuelle de SPECIAL EDITION FZ sous licence de SAUDI RESEARCH & PUBLISHING COMPANY. Tous droits réservés et soumis aux conditions d’utilisation