Itron a confirmé via SEC le 27 avril 2026 une intrusion détectée le 13 avril sur ses systèmes internes, avec déploiement de la famille de malwares Snow.
En bref
- Itron, fournisseur américain de compteurs intelligents pour 110 millions de foyers et entreprises, confirme une intrusion sur ses systèmes internes.
- Les attaquants ont déployé la famille de malwares Snow (Snowbelt, Snowglaze, Snowbasin) pour maintenir un accès persistant.
- Itron affirme que les environnements clients hébergés et l'OT n'ont pas été touchés ; l'enquête se poursuit avec les autorités fédérales.
Ce qui s'est passé
Itron, équipementier basé à Liberty Lake (Washington) et fournisseur stratégique de compteurs intelligents pour l'eau, le gaz et l'électricité, a déclaré le 13 avril 2026 avoir détecté un accès non autorisé à certains de ses systèmes. La société a publié son alerte officielle ce 27 avril 2026 via un dépôt SEC 8-K, confirmant une intrusion sur le réseau d'entreprise et l'activation immédiate de son plan de réponse aux incidents. Itron affirme avoir engagé des cabinets externes en cybersécurité et notifié les forces de l'ordre.
Selon les éléments rendus publics, l'acteur malveillant a infecté les machines compromises avec trois souches distinctes baptisées Snowbelt, Snowglaze et Snowbasin, regroupées sous le nom Snow par les analystes. Cette boîte à outils est conçue pour la persistance et le mouvement latéral, ce qui suggère une opération préparée et probablement étatique. L'industriel précise que les portions hébergées chez les clients et les environnements opérationnels (OT) n'ont pas été touchées, et que l'activité n'a pas affecté la production ni le service.
Pourquoi c'est important
Itron équipe plus de 110 millions de points de mesure dans le monde, et ses solutions sont au cœur de la facturation et du pilotage de réseaux critiques. Une compromission de l'infrastructure interne d'un tel acteur ouvre un vecteur d'attaque indirecte sur les distributeurs d'énergie et d'eau, par le biais de mises à jour logicielles, de comptes de support ou d'identifiants partagés. Le scénario rappelle les opérations sur la chaîne d'approvisionnement déjà documentées contre les automates Rockwell visés par CyberAv3ngers.
L'intérêt stratégique d'un compromis chez Itron s'inscrit dans une tendance de fond : la sécurité des compteurs communicants et des passerelles AMI devient un sujet de souveraineté. Pour les opérateurs européens, l'incident impose de revoir la séparation IT/OT, d'auditer les chaînes de signature firmware et de contrôler l'usage des comptes de maintenance distants. La famille Snow, peu documentée jusqu'ici, vient enrichir un paysage déjà saturé, après les opérations FIRESTARTER sur Cisco ASA et la fuite de code source Checkmarx.
Ce qu'il faut retenir
- Itron a confirmé via SEC 8-K du 27 avril 2026 une intrusion détectée le 13 avril sur son réseau interne.
- La famille Snow (Snowbelt, Snowglaze, Snowbasin) a été utilisée pour la persistance ; les environnements OT clients seraient épargnés.
- Les opérateurs utilisant des compteurs Itron doivent auditer les comptes support, les flux de mise à jour et les indicateurs réseau associés à la famille Snow, en cohérence avec les alertes CISA KEV récentes.
Quels sont les risques pour les utilisateurs finaux des compteurs Itron ?
Itron indique que les systèmes hébergés chez les clients et l'environnement OT n'ont pas été affectés à ce stade. Les particuliers ne devraient donc pas constater d'impact direct sur leur compteur. Les opérateurs, eux, doivent surveiller leurs portails de gestion et appliquer les indicateurs de compromission liés à la famille Snow dès qu'ils seront diffusés.
La famille Snow est-elle attribuée à un groupe APT connu ?
Aucune attribution officielle n'a été communiquée. Le caractère segmenté du toolkit (trois implants distincts pour la persistance, l'exfiltration et la latéralisation) et le ciblage d'un acteur d'infrastructure critique suggèrent une opération préparée, possiblement étatique. L'enquête fédérale en cours pourrait apporter des précisions dans les prochaines semaines.
Besoin d'un accompagnement expert ?
Ayi NEDJIMI vous accompagne sur vos projets cybersécurité et IA.
Prendre contactÀ propos de l'auteur
Ayi NEDJIMI
Auditeur Senior Cybersécurité & Consultant IA
Expert Judiciaire — Cour d'Appel de Paris
Habilitation Confidentiel Défense
ayi@ayinedjimi-consultants.fr
Ayi NEDJIMI est un vétéran de la cybersécurité avec plus de 25 ans d'expérience sur des missions critiques. Ancien développeur Microsoft à Redmond sur le module GINA (Windows NT4) et co-auteur de la version française du guide de sécurité Windows NT4 pour la NSA.
À la tête d'Ayi NEDJIMI Consultants, il réalise des audits Lead Auditor ISO 42001 et ISO 27001, des pentests d'infrastructures critiques, du forensics et des missions de conformité NIS2 / AI Act.
Conférencier international (Europe & US), il a formé plus de 10 000 professionnels.
Domaines d'expertise
Ressources & Outils de l'auteur
Articles connexes
Microsoft : 8 500 départs volontaires pour financer l'IA
Microsoft propose pour la première fois de son histoire des rachats volontaires à 7 % de ses employés américains, soit environ 8 500 personnes, pour financer l'IA.
Outlook KO mondial : Microsoft confirme la panne du 27 avril
Microsoft a confirmé ce 27 avril 2026 une panne mondiale d'Outlook et Hotmail, avec login impossible et synchronisation rompue depuis l'Europe et les États-Unis.
CISA AA26-097A : CyberAv3ngers cible les PLC Rockwell aux États-Unis
CISA AA26-097A alerte sur CyberAv3ngers (IRGC) qui compromet des PLC Rockwell exposés Internet. Eau, énergie, services US touchés depuis mars 2026.
Commentaires
Aucun commentaire pour le moment. Soyez le premier à commenter !
Laisser un commentaire