Iran : Handala s'attaque aux réseaux d'eau californiens

Un groupe iranien frappe les réseaux d'eau californiens et publie 5 Go de données

Le 12 juin 2026, le groupe hacktiviste iranien Handala a publié une revendication d'intrusion dans les systèmes informatiques de California Water Service (Cal Water), l'un des principaux opérateurs d'eau potable de l'État de Californie. À l'appui de leurs allégations, les attaquants ont mis en ligne une archive de 5 gigaoctets contenant des enregistrements de facturation clients et des données d'administration d'un réseau de correction GPS interne couvrant au moins sept districts Cal Water, dont ceux de Bakersfield, Visalia et Chico. La revendication a été relayée par SecurityWeek le jour même, déclenchant une enquête forensique immédiate de l'opérateur.

L'entrée dans le système s'est faite via RTKBase, une application open source de station de base GNSS (Global Navigation Satellite System) utilisée par les équipes terrain de Cal Water pour obtenir des corrections de positionnement centimétrique. Ces corrections GPS sont indispensables pour cartographier et entretenir les infrastructures souterraines d'eau et d'assainissement avec précision. RTKBase diffuse en continu des données de correction différentielle aux équipes mobiles équipées de récepteurs compatibles. L'application, exposée sur le réseau d'entreprise, présentait une vulnérabilité permettant un accès non authentifié à ses interfaces d'administration, d'après les premières analyses publiées par des chercheurs de Rescana et de CyberScoop.

En exploitant RTKBase, Handala aurait obtenu les credentials d'administration du réseau de correction interne, qui partage des segments du réseau informatique de Cal Water. Depuis cette tête de pont, les attaquants auraient latéralement accédé à la base de données de facturation clients, exfiltrant des enregistrements incluant des informations personnelles et financières des abonnés. La publication de la preuve sur des forums et via les canaux Telegram du groupe vise à maximiser l'impact médiatique et la pression psychologique sur l'opérateur.

Cal Water a déclaré avoir engagé une enquête forensique immédiatement dès connaissance de la revendication. Dans une déclaration officielle relayée par SecurityWeek, l'opérateur indique que « les conclusions préliminaires n'indiquent aucune perturbation opérationnelle connue de nos systèmes d'eau et d'eaux usées, y compris la plateforme de facturation ». Aucune alerte de service n'a été émise auprès des abonnés ni des autorités sanitaires californiennes. L'enquête reste ouverte et aucune notification réglementaire formelle n'avait été publiée au moment de la rédaction de cet article.

Handala est un groupe hacktiviste se réclamant d'affiliations iraniennes, documenté depuis 2023 pour des opérations ciblant principalement Israël et ses alliés perçus. Sa montée en activité contre des cibles américaines s'est accélérée en 2026 dans un contexte de tensions géopolitiques croissantes. Le groupe a explicitement motivé son attaque par des représailles contre des frappes américaines sur une infrastructure hydraulique proche de Sirik, dans le sud de l'Iran, qui auraient privé des milliers d'habitants d'eau potable en pleine chaleur estivale, d'après des médias d'État iraniens.

Le Federal Bureau of Investigation (FBI) et la Cybersecurity and Infrastructure Security Agency (CISA) avaient émis dès la fin 2025 des avertissements explicites ciblant les opérateurs d'eau et d'énergie américains face à l'activité de hackers liés à l'Iran, notamment le groupe CyberAv3ngers, associé au Corps des gardiens de la révolution islamique. CyberAv3ngers s'était distingué fin 2023 en compromettant des automates programmables Unitronics dans des stations d'eau israéliennes et américaines. Handala opère avec un profil différent — plus axé sur l'exfiltration et la publication de données que sur la perturbation opérationnelle — mais sa cible d'infrastructure critique reste la même.

L'étendue exacte de la compromission reste à établir. Si le vecteur initial (RTKBase) est identifié, le mouvement latéral entre le réseau de correction GPS et la base de données de facturation soulève des questions sur la segmentation réseau chez Cal Water. Dans les environnements d'infrastructure critique, la séparation stricte entre réseaux OT (technologie opérationnelle — automates, SCADA) et IT (facturation, messagerie) est un principe fondamental de cybersécurité industrielle. La présence de RTKBase dans un segment permettant l'accès aux données clients suggère que cette séparation n'était pas complète.

Des chercheurs de State of Surveillance ont par ailleurs documenté la présence durable de hackers iraniens dans des systèmes de contrôle de réseaux d'eau et d'énergie américains, avec des accès parfois actifs depuis plusieurs mois avant leur découverte. L'incident Cal Water s'inscrit dans un contexte plus large d'infiltration persistante des infrastructures critiques américaines, malgré les avertissements répétés des agences fédérales. Selon CyberScoop, la CISA évalue que de nombreux opérateurs d'eau américains ne disposent pas des moyens humains ou techniques pour détecter une compromission de ce type dans un délai court.

Infrastructures critiques et cyber-conflits géopolitiques : une escalade structurelle

L'attaque de Handala sur Cal Water illustre une tendance de fond que les agences de sécurité occidentales documentent depuis plusieurs années : la convergence entre hacktivisme, opérations étatiques et infrastructures critiques. Les groupes comme Handala ou CyberAv3ngers fonctionnent dans une zone grise où les motivations idéologiques et les intérêts stratégiques des États s'entrecroisent. Pour les opérateurs d'eau américains, souvent dotés de petites équipes IT et de budgets cybersécurité limités, cette menace représente un défi existentiel.

Le vecteur d'attaque choisi — RTKBase, un logiciel open source de niche utilisé pour des opérations terrain de précision — est révélateur d'une évolution dans les tactiques des attaquants. Les systèmes d'entreprise centraux bénéficient généralement d'une attention sécuritaire accrue. En revanche, les outils auxiliaires déployés par les équipes opérationnelles — logiciels de maintenance, stations de mesure, interfaces de capteurs — restent souvent exposés sur des réseaux sans segmentation adéquate et avec des cycles de mise à jour irréguliers. RTKBase, en tant qu'outil open source, ne bénéficie pas d'un support vendeur proactif pour la notification de vulnérabilités.

La dimension réglementaire de cet incident est notable. Aux États-Unis, l'EPA et la CISA ont publié des directives spécifiques pour les opérateurs d'eau sur l'évaluation des risques cyber, notamment via le programme WaterISAC. En Europe, la directive NIS2 (transposée dans les législations nationales depuis octobre 2024) classe explicitement les opérateurs d'eau comme entités essentielles soumises à des obligations de sécurité renforcées et de notification d'incident sous 24 heures. Un incident de la nature de celui de Cal Water survenant en Europe déclencherait une notification immédiate aux autorités compétentes et potentiellement une amende substantielle en cas de manquement aux mesures préventives requises par la directive.

Pour les RSSI d'opérateurs d'infrastructure critique, l'enseignement principal est la nécessité d'inventorier l'ensemble des outils auxiliaires déployés par les équipes terrain — pas seulement les systèmes SCADA — et de les intégrer dans le périmètre de gestion des vulnérabilités. La surface d'attaque des infrastructures critiques dépasse largement les systèmes industriels traditionnels et inclut désormais les outils de géolocalisation, de maintenance prédictive, et de gestion des actifs utilisés quotidiennement sur le terrain.

Ce qu'il faut retenir

• Handala a revendiqué le 12 juin 2026 l'intrusion dans les systèmes de Cal Water (Californie) via une vulnérabilité RTKBase, exfiltrant 5 Go de données clients et de credentials GPS.
• Aucune perturbation des ICS/SCADA n'a été confirmée, mais l'incident révèle une segmentation réseau insuffisante entre outils IT auxiliaires et systèmes opérationnels.
• Les opérateurs d'infrastructure critique doivent intégrer les outils terrain auxiliaires dans leur périmètre de gestion des vulnérabilités et auditer strictement la séparation IT/OT.