Un groupe de pirates informatiques lié à l’Iran divulgue les renseignements personnels de journalistes et amplifie les informations divulguées grâce à des robots conversationnels alimentés par l’intelligence artificielle

Sur cette page

Résumé
Cibles et contenu
Tactiques, techniques et procédures
Liens avec les services de renseignement iraniens
Implications
Annexe A : Exemples d’images d’informations divulguées
Annexe B : Résultats du grand modèle de langage

Résumé

Le Mécanisme de réponse rapide du Canada (le MRR du Canada) a détecté une opération de « piratage et de divulgation » menée par le groupe de pirates informatiques lié à l’Iran nommé « équipe de piratage de Handala » (Handala). L’opération visait 5 journalistes d’Iran International, dont un Canadien. Le MRR du Canada estime que l’opération a débuté le 8 juillet 2025.

Les documents piratés comprenaient entre autres des photos de pièces d’identité officielles et des contenus personnels. Ils ont d’abord été publiés sur le site Web de Handala, puis diffusés à plus grande échelle sur X, Facebook, Instagram, Telegram et sur des sites d’information iraniens. Au moment de l’évaluation, le degré de mobilisation suscité par les documents piratés variait de faible à moyen (entre 0 et 2 200 interactions et 1 à 225 000 vues), selon la plateforme. La campagne sur les réseaux sociaux semble avoir pris fin au début du mois d’août.

À la suite de l’opération initiale de « piratage et de divulgation », le MRR du Canada a également détecté une amplification des informations divulguées au moyen de plusieurs robots conversationnels alimentés par l’intelligence artificielle : ChatGPT, Gemini, Copilot, Claude, Grok et DeepSeek. Ces plateformes ont toutes exposé des renseignements détaillés sur l’opération de « piratage et de divulgation », indiquant les noms des personnes concernées, la nature des informations divulguées et des liens vers les images publiées. Le MRR du Canada note que certains de ces robots conversationnels continuent de diffuser les images divulguées sur demande.

De nombreuses sources, dont le Conseil de l’Atlantique, ont associé le groupe de piratage Handala aux services de renseignement iraniens.^{Note de bas de page 1}

Cibles et contenu

L’opération initiale « de piratage et de divulgation »

Le 8 juillet 2025, le groupe présumé « hacktiviste » nommé « équipe de piratage Handala », a déclaré avoir accédé à l’infrastructure de communication interne et aux serveurs d’Iran International, une chaîne de télévision par satellite en farsi et un service d’information en ligne international disponible en anglais, en arabe et en farsi.^{Note de bas de page 2} Le groupe a publié plusieurs photos non censurées de pièces d’identité officielles (notamment des passeports, des cartes de résident permanent et des permis de conduire) de 5 employés d’Iran International. Dans certains cas, le contenu publié comprenait des mots de passe de courriel, ainsi que des photos et des vidéos personnelles. (Voir l’annexe A)

Le MRR du Canada a détecté l’opération le 9 juillet 2025, à la suite de la publication d’informations sur une chaîne Telegram associée à Handala. Le groupe a affirmé avoir acquis des renseignements sur des milliers de personnes liées à Iran International, notamment des documents et des images personnelles de journalistes qui travaillaient pour l’agence de presse.^{Note de bas de page 3}

Le 11 juillet 2025, le MRR du Canada a détecté une nouvelle diffusion de documents sur X et Facebook. Les informations semblent concerner un résident canadien employé par Iran International. La divulgation comprenait plusieurs photos des pièces d’identité de cette personne, notamment son permis de conduire provincial, sa carte de résident permanent et son passeport iranien, ainsi que d’autres photos et vidéos personnelles. Trois autres employés de l’agence de presse travaillant à l’étranger ont été pris pour cible de la même manière, leurs pièces d’identité émises par le gouvernement ayant été publiées sur le site Web de Handala, puis diffusées en ligne.

On estime que d’autres journalistes ont été victimes du piratage et certains suggèrent que le groupe utilise également les images personnelles piratées comme source de revenus en mettant en place un accès payant à certaines images.

Informations amplifiées grâce aux robots conversationnels alimentés par l’intelligence artificielle

Le MRR du Canada a mis à l’essai 6 robots conversationnels populaires alimentés par l’intelligence artificielle – ChatGPT, Gemini, Copilot, Claude, Grok et DeepSeek – afin d’évaluer si les plateformes pouvaient récupérer et communiquer les informations divulguées par Handala. Bien que les messages-guides requis aient varié, tous les robots conversationnels mis à l’essai ont présenté des renseignements détaillés sur l’opération, indiquant les noms des personnes impliquées dans l’affaire ainsi que la nature des informations. (Voir l’annexe B)

En plus de donner des informations, des liens et, dans certains cas, des images liées à la divulgation, les robots conversationnels ont donné des citations qui comprenaient des liens vers des sources peu fiables ou liées à l’État, ou ont répété des accusations non vérifiées contre Iran International concernant sa crédibilité, provenant de Handala.

Tactiques, techniques et procédures

Les opérations de « piratage et de divulgation » sont un type de campagne d’influence cybernétique dans laquelle des acteurs malveillants piratent les systèmes ou les comptes d’une cible afin de voler des renseignements de nature délicate ou privée, puis les divulguent publiquement. Ces opérations sont souvent mises en œuvre dans le but de nuire à la réputation, d’influencer l’opinion publique, de perturber les processus politiques et même de mettre en danger la sécurité des personnes.

Ces opérations sont souvent associées à des acteurs soutenus par des États, à des groupes de hacktivistes ou à des cybercriminels.

Liens avec les services de renseignement iraniens

Handala a établi sa présence sur le Web en décembre 2023. Le groupe a une présence limitée sur les réseaux sociaux, probablement en raison de violations fréquentes des conditions d’utilisation des plateformes.

Le Conseil de l’Atlantique et plusieurs sociétés spécialisées dans le renseignement sur les menaces (notamment Recorded Future, Trellix et d’autres) rapportent que Handala a des liens avec d’autres groupes liés aux services de renseignement iraniens tels que Storm-842 (également connu sous les noms de Red Sandstorm, Dune, Void Manticore ou Banished Kitten), ou est affilié à eux.^{Note de bas de page 4} Iran International affirme que Handala et Storm-842 sont un seul et même groupe opérant en tant qu’unité cybernétique au sein du ministère du Renseignement et de la Sécurité de l’Iran.^{Note de bas de page 5}

Implications

La fuite d'informations personnelles augmente le risque pour la sécurité personnelle du personnel concerné d'Iran International. La facilité d'accès à ces informations grâce aux algorithmes des moteurs de recherche et à leur disponibilité sur les chatbots IA accroît encore ce risque. De telles opérations sont utilisées comme une forme de répression transnationale numérique (DTNR), qui sert à contraindre, harceler, faire taire et intimider ceux qui s'expriment contre des acteurs étrangers ou contre leurs intérêts.

Annexe A : Exemples d’images d’informations divulguées

Image 1 : Une pièce d’identité émise par le gouvernement et des photos personnelles d’un résident canadien travaillant pour Iran International.

Image 2 : Une publication X provenant probablement d’associés de l’équipe de piratage Handala amplifiant les informations divulguées.

Annexe B : Résultats du grand modèle de langage

Image 3 : Une version Web de ChatGPT présentant des images divulguées.

Image 4 : Gemini de Google reproduisant les images divulguées.

Image 5 : Grok affichant des publications X contenant des informations divulguées.

Image 6 : Claude générant des réponses contenant une citation renvoyant directement au site Web de Handala.

Image 7 : DeepSeek génère des réponses contenant une citation renvoyant directement au site Web de Handala.

Note de bas de pages

Note de bas de page 1

« What the Israel-Iran conflict revealed about wartime cyber operations » (en anglais) [Ce que le conflit israélo-iranien a révélé sur les cyberopérations en temps de guerre], Conseil de l'Atlantique, 30 juillet 2025, What the Israel-Iran conflict revealed about wartime cyber operations - Atlantic Council;

« The Retaliation Window » (en anglais) [La fenêtre de représailles], Recorded Future, 22 juin 2025, https://www.recordedfuture.com/blog/the-retaliation-window;

« Recorded Future on powering resilience with intelligence-led security » (en anglais) [Entrevue avec Recorded Future sur le renforcement de la résilience grâce à une sécurité fondée sur le renseignement], CXO Insight, 7 juillet 2025, https://www.cxoinsightme.com/feature/recorded-future-on- powering-resilience-with-intelligence-led-security/.

« The Iranian Cyber Capability » (en anglais) [ Les capacités cybernétiques iraniennes], Trellix https://www.trellix.com/en-ca/blogs/research/the-iranian-cyber-capability/

« The Retaliation Window » (en anglais) [La fenêtre de représailles], Recorded Future, 22 juin 2025, https://www.recordedfuture.com/blog/the-retaliation-window;

« The Iranian Cyber Capability » (en anglais) [ Les capacités cybernétiques iraniennes], Trellix https://www.trellix.com/en-ca/blogs/research/the-iranian-cyber-capability/

Retour à la référence de la note de bas de page 1 referrer

Note de bas de page 2

« La une », Iran International, 2025, https://www.iranintl.com/en

Retour à la référence de la note de bas de page 2 referrer

Note de bas de page 3

« Massive Hack of “Iran International” by the Group “Handala” » (en anglais) [piratage massif d’Iran International par le groupe Handala], WANA News Agency, 8 juillet 2025, https://wanaen.com/massive-hack-of-iran-international-by-the-group-handala/

Retour à la référence de la note de bas de page 3 referrer

Note de bas de page 4

« What the Israel-Iran conflict revealed about wartime cyber operations » (en anglais) [Ce que le conflit israélo-iranien a révélé sur les cyberopérations en temps de guerre], Conseil de l’Atlantique, 30 juillet 2025, What the Israel-Iran conflict revealed about wartime cyber operations - Atlantic Council;

« The Retaliation Window » (en anglais) [La fenêtre de représailles], Recorded Future, 22 juin 2025, https://www.recordedfuture.com/blog/the-retaliation-window;

« The Iranian Cyber Capability » (Les capacités cybernétiques iraniennes], Trellix https://www.trellix.com/en-ca/blogs/research/the-iranian-cyber-capability/

Retour à la référence de la note de bas de page 4 referrer

Note de bas de page 5

https://www.iranintl.com/202507086458 et https://cpj.org/2025/07/iranian-linked-hacker-group-targets-iran-international-journalists-in-cyberattack/

Retour à la référence de la note de bas de page 5 referrer

Date de modification:: 2025-09-12

Sélection de la langue

Recherche

Un groupe de pirates informatiques lié à l’Iran divulgue les renseignements personnels de journalistes et amplifie les informations divulguées grâce à des robots conversationnels alimentés par l’intelligence artificielle

Sur cette page

Résumé

Cibles et contenu

L’opération initiale « de piratage et de divulgation »

Informations amplifiées grâce aux robots conversationnels alimentés par l’intelligence artificielle

Tactiques, techniques et procédures

Liens avec les services de renseignement iraniens

Implications

Annexe A : Exemples d’images d’informations divulguées

Annexe B : Résultats du grand modèle de langage