En bref

  • Avis conjoint AA26-097A (FBI, CISA, NSA, EPA, DOE, USCYBERCOM) : APT iranien CyberAv3ngers compromet les PLC Rockwell/Allen-Bradley exposés sur Internet
  • Secteurs touchés : eau (Water and Wastewater Systems), énergie, services gouvernementaux ; perturbations opérationnelles et pertes financières confirmées chez plusieurs victimes
  • Méthode : connexion légitime via le logiciel Rockwell sur des PLC accessibles publiquement, modification des fichiers projet et des écrans HMI

Les faits

Le 7 avril 2026, six agences fédérales américaines (FBI, CISA, NSA, EPA, DOE et USCYBERCOM Cyber National Mission Force) ont publié l'avis conjoint AA26-097A. Depuis au moins mars 2026, un groupe APT iranien rattaché à l'IRGC-CEC (Islamic Revolutionary Guard Corps Cyber Electronic Command) — opérant sous l'identifiant CyberAv3ngers et également suivi sous Shahid Kaveh Group, Hydro Kitten, Storm-0784 ou UNC5691 — exploite des PLC Rockwell Automation / Allen-Bradley exposés sur Internet à travers les États-Unis.

Les modes opératoires identifiés sont d'une simplicité brutale : les attaquants utilisent plusieurs adresses IP basées à l'étranger, se connectent aux PLC via le logiciel Rockwell légitime, manipulent les fichiers projet et altèrent ce que les opérateurs voient sur leurs écrans HMI. Plusieurs victimes ont subi des perturbations opérationnelles et des pertes financières directes. Les secteurs concernés couvrent l'eau et assainissement (WWS), l'énergie, et les services gouvernementaux.

Impact et exposition

Le constat technique est sans surprise pour qui audite régulièrement de l'OT : les PLC Rockwell exposés sur Internet sont nombreux, souvent sans authentification forte, et les comptes par défaut restent en place. CyberAv3ngers ne cherche même pas la sophistication : il se connecte avec les outils du fournisseur, comme un intégrateur le ferait. L'enjeu pour les opérateurs européens et français est immédiat. Les industriels concernés par NIS2 — opérateurs d'eau, distributeurs d'énergie, transporteurs, agroalimentaire — utilisent les mêmes plateformes. La cartographie d'exposition Internet de votre parc OT n'est plus optionnelle.

Recommandations

  • Vérifier qu'aucun PLC Rockwell Automation, Allen-Bradley, MicroLogix ou ControlLogix n'est joignable depuis Internet : passage en revue des règles NAT, des VPN site-à-site et des accès distants tiers (intégrateurs, mainteneurs)
  • Changer immédiatement les mots de passe par défaut sur tous les PLC, modules de communication et IHM ; activer l'authentification FactoryTalk Security là où elle existe
  • Segmenter strictement le réseau OT du réseau IT : aucun chemin direct PLC ↔ Internet, passage obligatoire par une zone démilitarisée industrielle (Purdue Level 3.5)
  • Surveiller les connexions entrantes vers les ports CIP/EtherNet IP (TCP/UDP 44818, TCP 2222) depuis des adresses IP non listées dans la cartographie autorisée des intégrateurs
  • Mettre en place une copie hors-ligne et signée des fichiers projet PLC ; auditer hebdomadairement les modifications via comparaison de signatures cryptographiques

Alerte critique

L'avis CISA met en garde explicitement les opérateurs d'infrastructures critiques. Les outils de l'attaquant sont les mêmes que ceux de l'intégrateur — les EDR classiques ne verront rien. Si vous n'avez pas d'inventaire à jour de vos PLC exposés Internet, vous êtes statistiquement exposé.

Comment savoir si un de mes PLC est exposé sur Internet ?

Trois actions complémentaires. D'abord, interrogez votre prestataire telecom pour obtenir la liste des IP publiques attribuées et faites un scan externe des ports OT classiques (44818, 2222, 502, 102, 20000). Ensuite, recherchez vos blocs IP publics dans les moteurs Shodan et Censys côté défensif. Enfin, auditez les règles NAT et port forwarding de chaque firewall périmétrique : tout mapping vers une IP du VLAN automate est un drapeau rouge à investiguer.

FactoryTalk Security suffit-il à se protéger ?

Non, mais c'est un prérequis. FactoryTalk Security ajoute une couche d'authentification au niveau du logiciel d'ingénierie, mais ne remplace pas la segmentation réseau, la suppression de l'exposition Internet, et la surveillance des connexions. Beaucoup d'opérateurs croient être protégés parce que FactoryTalk est activé, mais leurs PLC restent joignables sans aucun contrôle au niveau réseau. La défense en profondeur reste la règle.

Votre infrastructure est-elle exposée ?

Ayi NEDJIMI réalise des audits de sécurité ciblés pour identifier et corriger vos vulnérabilités avant qu'elles ne soient exploitées.

Demander un audit