Le 1er mars 2026, l'ayatollah Ali Khamenei a été assassiné dans sa résidence de la rue Pasteur, à Téhéran. Parmi les révélations qui ont suivi, une en particulier mérite qu'on s'y arrête : les services de renseignement israéliens avaient compromis la quasi-totalité du réseau de caméras de surveillance de Téhéran des années auparavant, et transmettaient les flux vidéo, chiffrés, vers des serveurs en Israël pour cartographier les mouvements de la garde personnelle de l'ayatollah Ali Khamenei.

On 1 March 2026, Ayatollah Ali Khamenei was assassinated at his residence on Pasteur Street in Tehran. Among the revelations that followed, one in particular deserves attention: Israeli intelligence services had compromised nearly all of Tehran's surveillance camera network years earlier, transmitting encrypted video feeds to servers in Israel to map the movements of Ayatollah Ali Khamenei's personal security detail.

C'est ironique. L'Iran avait déployé ces caméras pour surveiller sa propre population — identifier des dissidents, suivre des manifestants, contrôler l'espace public. L'outil de répression s'est retourné contre ses opérateurs avec une précision que ceux-ci n'avaient, manifestement, pas anticipée.

It's ironic. Iran had deployed these cameras to monitor its own population — identify dissidents, track protesters, control public space. The tool of repression turned against its operators with a precision they had, clearly, not anticipated.

"We knew Tehran like we know Jerusalem. And when you know a place as well as you know the street you grew up on, you notice a single thing that's out of place."

— Un officier du renseignement israélien, cité par le Financial Times — An Israeli intelligence official, quoted by the Financial Times

Les services israéliens ont déjà utilisé cette tactique. Quinze ans plus tôt, dans l'opération Olympic Games — menée conjointement par la NSA et l'Unité 8200 — ils ont introduit un ver informatique sans précédent dans le complexe d'enrichissement d'uranium de Natanz. Ce ver s'appelait Stuxnet.

Israeli services have done this before. Fifteen years earlier, in an operation called Olympic Games — run jointly by the NSA and Unit 8200 — they introduced an unprecedented worm into the uranium enrichment complex at Natanz. That worm was called Stuxnet.

Natanz était considéré comme inviolable : son réseau informatique était physiquement déconnecté d'internet — ce qu'on appelle un réseau air-gapped. Les Iraniens pensaient que cette isolation les mettait à l'abri. Stuxnet a contourné cette protection de la manière la plus banale qui soit : une clé USB introduite par une taupe dans l'installation. Une fois en place, le ver ciblait les automates Siemens S7 contrôlant les centrifugeuses, en modifiait subtilement les vitesses de rotation — tantôt trop vite, tantôt trop lentement — tout en affichant des valeurs normales sur les écrans de contrôle. Les techniciens iraniens voyaient des indicateurs au vert pendant que leurs machines s'autodétruisaient. Environ 1 000 centrifugeuses ont été mises hors service. Le programme nucléaire iranien a été retardé d'au moins deux ans.

Natanz was considered impenetrable: its computer network was physically disconnected from the internet — what is known as an air-gapped network. The Iranians believed this isolation kept them safe. Stuxnet bypassed this protection in the most mundane way imaginable: a USB drive smuggled in by a mole. Once inside, the worm targeted Siemens S7 PLCs controlling the centrifuges, subtly altering their rotation speeds — sometimes too fast, sometimes too slow — while displaying normal values on monitoring screens. Iranian technicians saw green indicators while their machines were self-destructing. Around 1,000 centrifuges were put out of service. Iran's nuclear programme was set back by at least two years.

La découverte de Stuxnet en 2010 a changé la façon dont le monde pense à la cyberguerre. Pour la première fois, un logiciel avait causé des dégâts physiques réels sur des infrastructures critiques. Mais la leçon la plus profonde, et la moins bien retenue, est ailleurs : les Iraniens ne savaient pas que leurs systèmes étaient compromis. Ils mesuraient des valeurs. Ils lisaient des rapports. Tout semblait normal. C'est exactement la même logique qui a fonctionné pendant des années avec les caméras de Téhéran.

The discovery of Stuxnet in 2010 changed how the world thinks about cyberwarfare. For the first time, software had caused real physical damage to critical infrastructure. But the deepest lesson — and the least well-remembered — lies elsewhere: the Iranians did not know their systems were compromised. They were reading measurements. They were reading reports. Everything looked normal. That is exactly the same logic that worked for years with Tehran's cameras.

Je travaille en sécurité depuis trente ans. Cette affaire n'est pas une curiosité géopolitique — c'est un cas que j'enseigne depuis. Les vecteurs ne sont pas nouveaux. L'échelle et la durée, oui.

I have been in security for thirty years. This is not a geopolitical curiosity — it is a case I have been teaching from ever since. The vectors are not new. The scale and duration are.

Ce qui s'est passé, techniquement

What happened, technically

Selon le Financial Times et l'Associated Press, l'opération reposait sur trois éléments combinés :

According to the Financial Times and the Associated Press, the operation rested on three combined elements:

La compromission des caméras de circulation. Des années avant la frappe, le Mossad avait accès aux flux de pratiquement toutes les caméras de la capitale iranienne. L'une d'elles, par son angle particulier sur les parkings proches de la résidence de la rue Pasteur, permettait d'observer les habitudes quotidiennes de l'escorte — où les gardes garaient leurs voitures, à quelle heure ils arrivaient, quels officiels ils accompagnaient.

The compromise of traffic cameras. Years before the strike, the Mossad had access to feeds from nearly all cameras in the Iranian capital. One of them, at a particular angle overlooking parking areas near the residence on Pasteur Street, allowed analysts to observe the daily habits of the security detail — where guards parked their cars, what time they arrived, which officials they escorted.

La constitution de dossiers par algorithme. Ces images n'étaient pas visionnées manuellement. Des algorithmes développés par l'Unité 8200 traitaient des milliards de points de données pour construire ce que le renseignement appelle un pattern of life : adresses personnelles des gardes, horaires de service, itinéraires, répartition des missions de protection. Une base de données sur les hommes chargés de protéger Khamenei, bâtie caméra par caméra, jour après jour.

Building profiles through algorithms. These images were not viewed manually. Algorithms developed by Unit 8200 processed billions of data points to build what intelligence services call a pattern of life: guards' home addresses, duty schedules, commuting routes, assignment details. A database on the men protecting Khamenei, built camera by camera, day after day.

La neutralisation des communications au moment critique. Le jour de la frappe, une douzaine de relais téléphoniques autour de la rue Pasteur ont été désactivés. Toute tentative d'alerter les gardes du corps aboutissait à une tonalité occupée. L'isolement numérique précédait l'isolement physique.

Neutralising communications at the critical moment. On the day of the strike, around a dozen mobile phone towers near Pasteur Street were disabled. Any attempt to warn bodyguards resulted in a busy tone. Digital isolation preceded physical isolation.

Ce que les sources indiquentWhat the sources indicate

L'accès aux caméras avait été obtenu des années avant l'opération. Pas une compromission de dernière minute — une présence longue durée, silencieuse, indétectée. C'est là le point le plus instructif : personne n'a rien vu pendant des années.

Access to the cameras had been obtained years before the operation. Not a last-minute compromise — a long-term, silent, undetected presence. That is the most instructive point: nobody noticed anything for years.

Ce que ça change pour nos organisations

What this means for our organisations

Vous pensez que ça ne concerne que les États. Erreur : les vecteurs exploités ici — caméras mal sécurisées, absence de segmentation réseau, accès non monitorés — sont exactement ce que je rencontre dans les audits que je conduis auprès d'hôpitaux, de communes et de PME industrielles. Chaque semaine.

You might think this only concerns states. Wrong: the vectors exploited here — poorly secured cameras, lack of network segmentation, unmonitored access — are exactly what I encounter in audits I conduct with hospitals, municipalities and industrial SMEs. Every week.

01
Tout équipement connecté est une surface d'attaque
Every connected device is an attack surface
Caméras, imprimantes, automates industriels, bornes de contrôle d'accès — ces équipements "périphériques" sont des points d'entrée. Centrer la sécurité sur les serveurs et les postes de travail, c'est ignorer la moitié du périmètre.
Cameras, printers, industrial controllers, access control terminals — these "peripheral" devices are entry points. Focusing security on servers and workstations means ignoring half the perimeter.
02
Un accès non monitoré est un accès potentiellement compromis
Unmonitored access is potentially compromised access
Si personne ne regarde ce que fait un équipement, on ne peut pas savoir s'il a été retourné. La détection d'intrusion ne sert à rien si elle ne couvre pas les équipements qui "fonctionnent normalement" — c'est précisément là que l'attaquant s'installe.
If nobody is watching what a device is doing, there is no way to know if it has been turned. Intrusion detection is useless if it does not cover devices that are "working normally" — that is precisely where the attacker sets up shop.
03
La segmentation réseau n'est pas optionnelle
Network segmentation is not optional
Des caméras sur un segment isolé, sans accès au réseau d'entreprise ni à internet, auraient confiné la compromission. La micro-segmentation et le modèle "zero trust" ne sont pas des concepts abstraits — ce sont des architectures qui limitent concrètement le rayon d'action d'un attaquant.
Cameras on an isolated segment, with no access to the corporate network or the internet, would have contained the compromise. Micro-segmentation and the zero-trust model are not abstract concepts — they are architectures that concretely limit an attacker's blast radius.
04
Les données banales sont aussi du renseignement
Ordinary data is also intelligence
Une image de caméra de parking n'a aucune valeur. Des millions d'images analysées par un algorithme révèlent des routines, des identités, des vulnérabilités. Protéger uniquement les données "sensibles", c'est manquer la moitié du problème.
A single parking camera image has no value. Millions of images analysed by an algorithm reveal routines, identities, vulnerabilities. Protecting only "sensitive" data means missing half the problem.

Ce que NIS2 dit là-dessus

What NIS2 says about this

La directive NIS2, applicable depuis octobre 2024 aux entités essentielles et importantes en Europe, ne laisse pas beaucoup de place au flou sur ce point. L'article 21 impose explicitement des mesures couvrant la sécurité de la chaîne d'approvisionnement, l'acquisition et le développement des systèmes, et les politiques d'évaluation de l'efficacité des mesures de cybersécurité.

The NIS2 Directive, applicable since October 2024 to essential and important entities across Europe, leaves little room for ambiguity on this point. Article 21 explicitly requires measures covering supply chain security, system acquisition and development, and policies for assessing the effectiveness of cybersecurity measures.

Traduction concrète : si votre organisation exploite des caméras de surveillance, des systèmes de contrôle d'accès ou n'importe quel équipement connecté, NIS2 vous impose de les inclure dans votre périmètre de sécurité — les inventorier, les patcher, les monitorer, et documenter comment vous gérez le risque qu'ils représentent. Pas dans deux ans. Maintenant.

In plain terms: if your organisation operates surveillance cameras, access control systems or any connected device, NIS2 requires you to include them in your security perimeter — inventory them, patch them, monitor them, and document how you manage the risk they represent. Not in two years. Now.

🔒 Questions à se poser dès aujourd'huiQuestions to ask yourself today

Pour finir

To conclude

Ce que cette affaire confirme, c'est quelque chose que je dis à mes clients depuis longtemps : une organisation ne sait généralement pas ce qu'elle ne surveille pas. L'Iran pensait contrôler ses caméras. Il les contrôlait — mais d'autres aussi, depuis des années, en silence.

What this case confirms is something I have been telling clients for years: an organisation generally does not know what it is not monitoring. Iran thought it controlled its cameras. It did — but so did others, for years, in silence.

Combien de systèmes dans nos organisations sont dans cette situation ? Fonctionnels en apparence, compromis en réalité ? La réponse honnête, dans la plupart des cas, est : on ne sait pas. C'est exactement le problème.

How many systems in our organisations are in that situation? Apparently functional, actually compromised? The honest answer, in most cases, is: we don't know. That is exactly the problem.

Les opérations de ce niveau mobilisent des ressources que la grande majorité des attaquants n'ont pas. Mais les techniques de base — exploitation de credentials par défaut, persistance via des équipements IoT négligés, exfiltration lente et silencieuse — figurent dans n'importe quel kit de ransomware du marché. Ce qui était hier une capacité d'État est aujourd'hui un service disponible sur abonnement.

Operations at this level require resources that the vast majority of attackers do not have. But the underlying techniques — exploitation of default credentials, persistence through neglected IoT devices, slow and silent exfiltration — are found in any commodity ransomware kit. What was once a state-level capability is today a subscription service.

La sérendipité, parfois, c'est de trouver la vulnérabilité avant l'attaquant. Encore faut-il avoir décidé de chercher.

Serendipity, sometimes, is finding the vulnerability before the attacker does. But that requires having decided to look.

Sources & références

Sources & references

Denis Neuforge
CISSP · CCSP · CIPP/E · PECB NIS2 Senior Lead Implementer

Senior Cybersecurity Consultant et Managing Director de Serendipity SRL. 30 ans d'expérience en sécurité de l'information dans les institutions financières internationales et le secteur public belge. Spécialiste NIS2, gouvernance de la sécurité et gestion des risques.

Senior Cybersecurity Consultant and Managing Director of Serendipity SRL. 30 years of experience in information security in international financial institutions and the Belgian public sector. Specialist in NIS2, security governance and risk management.