Dès mercredi, plusieurs sites officiels majeurs, dont ceux liés à la présidence et à divers ministères, étaient soit inaccessibles, soit gravement dégradés. Des médias de premier plan ont également été visés, notamment MTV et les Forces Libanaises, avec au moins un site défiguré et d’autres devenus inactifs. L’ampleur et la précision de ces attaques ont conduit de hauts responsables à les qualifier d’opération dépassant largement le cadre d’une perturbation cybernétique ordinaire.

Les attaques ont été revendiquées par le Fatemiyoun Electronic Team, un groupe cyber pro-Hezbollah et pro-iranien, que de nombreuses firmes de renseignement en cybersécurité estiment évoluer au sein de réseaux affiliés au Corps des Gardiens de la Révolution islamique iranienne et à ses relais régionaux. Si ce groupe se présente comme un collectif hacktiviste idéologique, ses schémas de ciblage et son timing suggèrent un niveau de coordination caractéristique d’actions menées par des entités proxy organisées.

« Rien n’était aléatoire. Rien n’était opportuniste », a déclaré Cyrille Najjar, premier conseiller au sein du cabinet du ministre d’État pour la Technologie de l’Information et l’IA. « Les cibles ont été choisies. Des médias opposés au Hezbollah. Des institutions publiques ayant pris position contre lui. Il s’agit d’une pression sélective, exercée avec des intentions claires. »

Selon les analyses, la campagne aurait débuté autour du 15 mars par des attaques contre des organisations médiatiques libanaises, avant de s’intensifier nettement le 18 mars pour viser des systèmes gouvernementaux centraux. Dans au moins un cas, des avertissements auraient été adressés aux autorités libanaises concernant la couverture médiatique avant le passage à l’acte, renforçant l’hypothèse d’une opération conçue pour contraindre, réduire au silence et déstabiliser.

La méthode principale employée repose sur des attaques par déni de service distribué (DDoS), submergeant les serveurs sous un volume massif de trafic. Parallèlement, des attaques au niveau applicatif ont été déployées afin d’épuiser les systèmes backend et de prolonger les interruptions. Les analystes ont observé que plusieurs sous-domaines gouvernementaux ont été ciblés en succession rapide, attestant à la fois d’une coordination rigoureuse et d’une capacité opérationnelle significative.

Au-delà de l’exécution technique, les implications sont, selon les autorités, d’ordre politique et juridique.

« Lorsqu’un groupe proxy aligné sur un acteur politique interne mène des attaques coordonnées contre des institutions de l’État, cela ne peut être réduit à un simple incident cyber », a déclaré Najjar. « Cela pose la question de savoir si nous sommes face à un acte d’hostilité mené par intermédiaires. »

Une telle lecture est particulièrement sensible dans le paysage politique libanais, profondément fragmenté. Le Hezbollah, acteur à la fois politique et militaire majeur, évolue depuis longtemps à la croisée des dynamiques internes et des tensions régionales. Bien qu’aucune attribution officielle n’ait encore été émise par le gouvernement, la concordance entre les cibles des attaques et les adversaires politiques connus du Hezbollah a intensifié les interrogations.

Pour Najjar, la question n’est plus théorique.

« Comment un ministre peut-il siéger au Conseil des ministres alors que son alignement politique est associé, directement ou indirectement, à des attaques visant la présidence et d’autres ministères ? » s’interroge-t-il. « Nous ne sommes plus dans l’hypothèse. Il s’agit d’une campagne active contre l’État. Elle remet en cause la notion même de gouvernance collective. »

Il souligne que la situation soulève des interrogations fondamentales en matière de légitimité et de responsabilité. « Si l’État est attaqué depuis l’intérieur même de son écosystème politique, alors nous faisons face à une atteinte à la souveraineté qui dépasse la cybersécurité. Cela relève de la sécurité nationale et de l’intégrité institutionnelle. »

Les experts en cybersécurité avertissent que, bien que la vague actuelle d’attaques semble principalement axée sur la perturbation, le risque d’escalade demeure élevé. « Le DDoS constitue souvent une première couche », précise Najjar. « Dans des campagnes précédentes, il a été suivi d’exfiltrations de données, de fuites et d’opérations psychologiques destinées à intimider et déstabiliser. »

Des signes de cette dynamique commencent déjà à apparaître. Les attaquants ont diffusé des contenus de propagande, proféré des menaces directes et auraient exposé des informations personnelles liées à des professionnels des médias. Ces tactiques visent non seulement à perturber les systèmes, mais aussi à influencer les perceptions et les comportements.

Malgré l’ampleur des perturbations, aucun élément ne permet pour l’instant de conclure à des dommages irréversibles sur les infrastructures critiques. L’incident a toutefois mis en lumière des vulnérabilités structurelles de longue date dans les défenses cyber du Liban, notamment la fragmentation des systèmes, des capacités de mitigation limitées et des standards de sécurité inégaux entre institutions.

Des efforts d’intervention d’urgence sont en cours afin de stabiliser les systèmes affectés, rediriger le trafic via des services de filtrage protecteurs et sécuriser les actifs exposés. Parallèlement, la nécessité de mettre en place une task force nationale de cybersécurité, chargée de coordonner la réponse et de renforcer la résilience du secteur public, s’impose désormais avec urgence.

Mais pour des responsables comme Najjar, l’enjeu dépasse largement la seule reprise technique.

« C’est une épreuve pour l’État », conclut-il. « Non seulement pour nos systèmes, mais pour notre cohérence politique. On ne peut défendre une nation face à des menaces extérieures si sa structure interne tolère des acteurs alignés sur ceux qui exercent des pressions contre elle. »

Alors que le Liban affronte des crises multiples et imbriquées, les événements des dernières vingt-quatre heures imposent une prise de conscience difficile. À l’ère où les conflits se déplacent de plus en plus vers le cyberespace, la frontière entre menace extérieure et fracture interne devient chaque jour plus ténue.