Selon deux experts en cybersécurité interrogés par notre rédaction, les explosions des bipeurs le 17 septembre au Liban ont été provoquées par une charge explosive placée dans les appareils. En parallèle, leur logiciel aurait été modifié pour déclencher l’explosion à la réception d’un message particulier. Un système similaire pourrait avoir causé les explosions des talkies-walkies survenues dans l’après-midi du mercredi 18 septembre.
Des bipeurs qui appartiendraient à des membres du Hezbollah ont explosé mardi 17 septembre dans la banlieue sud de Beyrouth et dans le sud du Liban. Cette attaque, imputée à Israël – qui n’a pour le moment pas réagi aux accusations –, aurait fait au moins 12 morts et près de 2 800 blessés selon les chiffres du ministère libanais de la Santé. La majorité des victimes seraient des membres du Hezbollah.
Le mouvement chiite avait en effet abandonné les téléphones portables il y a quelques mois au profit de ces petits appareils sans fil qui permettent de recevoir des messages par l’intermédiaire de signaux radio.
Un changement d’appareils pour renforcer la sécurité
Pour Gérôme Billois, expert en cybersécurité pour le cabinet Wavestone, le Hezbollah avait opéré ce changement afin de renforcer la sécurité de ses communications.
"Le Hezbollah avait peur de l'espionnage, peur d’infiltration dans ses téléphones, d’écoutes de conversations, d’accès aux données, d’accès au GPS pour localiser les membres du Hezbollah. Et donc ils avaient fait ce choix de quitter le monde des téléphones pour revenir vers un monde plus ancien, celui des pagers [bipeurs, NDLR]. Cette information avait fuité assez largement, et c’est peut-être justement ce qui a donné l’idée de cette attaque", a-t-il expliqué à l’antenne de France 24 le mardi 17 septembre.
Pour afficher ce contenu X (Twitter), il est nécessaire d'autoriser les cookies de mesure d'audience et de publicité.
Accepter Gérer mes choixCette attaque numérique d’une ampleur inédite a soulevé de nombreuses interrogations quant à la méthode utilisée par ses auteurs pour faire exploser simultanément près de 3 000 bipeurs.
"Les dégâts que l’on voit dans les vidéos sont trop importants pour que ce soit juste la batterie qui surchauffe"
Interrogée par la rédaction des Observateurs de France 24, une ingénieure en cybersécurité souhaitant rester anonyme explique :
"Il y a plusieurs façons de faire exploser un bipeur. On s’est d’abord dit que les auteurs de l’attaque avaient trouvé une vulnérabilité dans le modèle du bipeur et avaient réussi à faire surchauffer et exploser la batterie et le condensateur. Sauf que les déflagrations et les dégâts que l’on voit dans les vidéos sont trop importants pour que ce soit juste la batterie qui surchauffe.
La piste la plus probable est que les bipeurs aient été piégés en amont – ce qu’on appelle une attaque à la chaîne d’approvisionnement –, que des charges explosives aient été placées dedans et que les microcontrôleurs aient été modifiés pour réagir à la réception d’un message spécifique. Une des vidéos de surveillance corrobore cette piste : on y voit un homme recevoir un message sur son bipeur qu’il prend alors en main, et le bipeur explose à cet instant.
Modifier un microcontrôleur n’est pas une manipulation extrêmement compliquée en soi pour quelqu’un qui a des compétences en hardware. La partie la plus complexe de cette opération est l’infiltration de la chaîne d’approvisionnement, cela nécessite d’avoir accès à des informations et cela a du prendre au moins plusieurs mois à mettre en place."
Pour Gérôme Billois, l’hypothèse d’un sabotage dans la chaîne d’approvisionnement est également la plus probable :
"Le scénario le plus probable est celui d’une livraison de bipeurs qui aurait pu être interceptée par les attaquants en question pour les modifier et ajouter potentiellement une charge explosive dans la batterie ou cachée à l'intérieur du terminal. [Ils auraient pu aussi] modifier le logiciel de ces pagers pour qu'ils déclenchent l’explosion à la réception de messages bien particuliers".
Il ajoute : "Techniquement, c’est assez facile à déclencher de manière simultanée parce que tous les pagers sont là pour recevoir des messages et c’est finalement comme les notifications qu’on a aujourd’hui sur nos téléphones. Sauf qu’au lieu d’avoir une notification de France 24 qui annonce une nouvelle, et bien là c’est une notification qui est arrivée sur le pager et qui a déclenché l’explosion. C’est en tous cas le scénario le plus probable."
De nouvelles explosions de talkies walkies
Au lendemain de l’attaque sur les bipeurs, d’autres explosions, cette fois de talkies-walkies, auraient eu lieu au Liban.
Des images postées sur X par le journaliste du New York Times Christiaan Triebert montrent deux talkies-walkies qui auraient explosé le 18 septembre. Sur les deux photos, le même modèle de talkie-walkie a pu être identifié, grâce aux références visibles au dos des appareils. Sur les deux photos postées, on peut voir le nom de la marque japonaise "Icom" qui serait la marque des talkies walkies. Sur l’une des photos, il est également possible de voir le nom du modèle modèle IC-V82.
Pour afficher ce contenu X (Twitter), il est nécessaire d'autoriser les cookies de mesure d'audience et de publicité.
Accepter Gérer mes choixMais ce modèle, qui n’est aujourd’hui plus produit par la marque, est aussi souvent contrefait. C’est ce qu’indique un document provenant du site d’Icom au Royaume-Uni, mis en évidence par Gianluca Mezzofiore, journaliste pour CNN.
"Faites particulièrement attention aux contrefaçons de IC-V80, IC-718 (modèle actuellement produit) et IC-V82 (modèle retiré du marché). Des copies de ces modèles circulent sur le marché", indique le fabricant.
S’agissant de la méthode utilisée pour déclencher les talkies-walkies, l’ingénieure en cybersécurité affirme qu’il est encore trop tôt pour formuler des hypothèses compte tenu du peu d’éléments connus. Toutefois, il n’est pas exclu que le même système que celui utilisé sur les bipeurs soit à l’origine de ces nouvelles explosions.