Photos de cigares, selfie avec une bouteille de rhum, CV personnel. Vendredi 27 mars, le groupe de hackers iranien Handala a mis en ligne le contenu de la boîte mail personnelle de Kash Patel, directeur du FBI. Le bureau fédéral a confirmé l’intrusion quelques heures plus tard.
L’affaire est d’autant plus embarrassante qu’elle survient huit jours seulement après une opération du ministère de la Justice américain qui avait saisi quatre noms de domaine du groupe Handala. La riposte n’a pas traîné : le domaine utilisé pour pirater Patel a été enregistré le jour même de cette saisie, le 19 mars, selon CBS News.
Un directeur du FBI piégé par son Gmail
Ce n’est pas le réseau interne du FBI qui a été compromis. Kash Patel utilisait un compte Gmail personnel, le même qui apparaissait déjà dans des fuites de données antérieures répertoriées par la société de renseignement District 4 Labs, précise Reuters. Le porte-parole du FBI, Ben Williamson, a tenu à cadrer les dégâts : les données récupérées seraient « de nature historique » et ne contiendraient « aucune information gouvernementale ».
Le groupe Handala, lui, raconte une autre histoire. Sur son site, il affirme détenir « emails, conversations, documents et fichiers classifiés » du patron du FBI, le tout « disponible en téléchargement public ». L’authenticité de ces documents n’a pas été vérifiée de manière indépendante par les médias qui ont couvert l’affaire. La BBC et Reuters précisent tous deux ne pas avoir pu authentifier l’intégralité des messages.
Des selfies en guise de trophée de guerre
Plus que les emails eux-mêmes, ce sont les photos qui circulent. Le groupe a publié un échantillon de plus de 300 messages couvrant la période 2010-2019, accompagnés de clichés de Patel dans des situations privées : fumant des cigares, posant à côté d’une décapotable vintage, souriant devant un jet, prenant un selfie miroir avec une bouteille de spiritueux. Chaque image porte le logo Handala en filigrane.
Le choix de ces photos n’est pas anodin. L’objectif, selon Gil Messing, directeur de cabinet de Check Point, entreprise israélienne de cybersécurité, est de « les faire se sentir vulnérables ». L’humiliation personnelle comme arme géopolitique. « Les Iraniens tirent avec tout ce qu’ils ont », résume-t-il pour Reuters.
Huit jours entre la saisie et la vengeance
Le contexte rend cette attaque particulièrement lisible. Le 19 mars, le ministère de la Justice annonçait avoir démantelé plusieurs sites du groupe Handala, accusé de diffuser de la « propagande terroriste » et de mener des opérations d’influence pour le compte du ministère iranien du Renseignement et de la Sécurité (MOIS). Le Département d’État offrait dans la foulée 10 millions de dollars pour toute information menant à l’identification des membres du groupe.
La réponse de Handala tient en une phrase publiée sur leur nouveau site : « Nous avons décidé de répondre à ce spectacle ridicule d’une manière dont on se souviendra pour toujours. » Le groupe, que les chercheurs occidentaux considèrent comme l’une des façades des unités de cyberrenseignement du gouvernement iranien, se présente comme un collectif de hackers pro-palestiniens.
Un schéma qui se répète depuis dix ans
Le piratage de la boîte mail personnelle d’un haut responsable américain est un classique. En 2016, des hackers russes avaient pénétré le Gmail de John Podesta, directeur de campagne d’Hillary Clinton, puis déversé le contenu sur WikiLeaks en pleine présidentielle. Un an plus tôt, en 2015, des adolescents avaient accédé au compte AOL personnel de John Brennan, alors directeur de la CIA.
La BBC rappelle par ailleurs que des hackers liés à l’Iran auraient déjà compromis les communications privées de Patel en 2024, quelques semaines avant sa nomination à la tête du FBI. On ne sait pas encore s’il s’agit du même incident que celui revendiqué vendredi par Handala.
Le point commun de toutes ces affaires : ce ne sont jamais les systèmes gouvernementaux sécurisés qui cèdent, mais les comptes personnels que ces responsables continuent d’utiliser en parallèle. Un compte Gmail, un mot de passe réutilisé ou une authentification trop faible suffisent.
Handala multiplie les cibles depuis le début du conflit
L’attaque contre Patel ne tombe pas du ciel. Depuis le début de la guerre entre les États-Unis, Israël et l’Iran, le groupe Handala a revendiqué une série d’opérations de plus en plus audacieuses. Le 11 mars, il affirmait avoir effacé « plus de 200 000 systèmes, serveurs et appareils mobiles » et extrait « 50 téraoctets de données critiques » chez Stryker, un fabricant américain de dispositifs médicaux coté au New York Stock Exchange.
Le jour précédant l’attaque contre Patel, le groupe publiait les données personnelles de dizaines d’employés de Lockheed Martin stationnés au Moyen-Orient, rapporte CNBC. Le géant de la défense a indiqué être « au courant des rapports » et disposer de procédures « pour atténuer les cybermenaces ».
Un rapport de renseignement américain, consulté par Reuters début mars, anticipait cette vague. Le document estimait que l’Iran et ses alliés pourraient répondre à la mort de l’Ayatollah Ali Khamenei par des cyberattaques « de faible niveau » contre les réseaux numériques américains. Le piratage d’un compte Gmail semble correspondre à cette grille de lecture : spectaculaire en termes d’image, limité en termes de dommages réels.
10 millions de dollars, et après
Le FBI offre désormais jusqu’à 10 millions de dollars pour toute information permettant d’identifier les membres de Handala. Le bureau confirme avoir « pris toutes les mesures nécessaires pour atténuer les risques potentiels liés à cette activité ». Patel lui-même n’a fait aucun commentaire public, ni sur X ni via les canaux officiels du FBI.
Reste un détail qui résume l’ironie de la situation : le groupe a publié un autre communiqué vendredi, avertissant les employés fédéraux américains. « Si votre directeur peut être compromis aussi facilement, à quoi vous attendez-vous pour vos employés de niveau inférieur ? » Un autre groupe de hackers iraniens, opérant sous le pseudonyme « Robert », avait déclaré à Reuters l’année dernière détenir 100 gigaoctets de données volées à Susie Wiles, cheffe de cabinet de la Maison-Blanche, et à d’autres proches de Donald Trump. Cette revendication n’a jamais été confirmée.
