Des hackers iraniens exploitent des automates Rockwell/Allen-Bradley pour perturber des infrastructures critiques US. Le FBI et la CISA alertent les secteurs de l'eau et de l'énergie.
En bref
- Des hackers liés à l'Iran exploitent des automates programmables (PLC) Rockwell/Allen-Bradley exposés sur Internet pour perturber des infrastructures critiques américaines.
- Le FBI, la CISA, la NSA et plusieurs agences fédérales ont publié un avis conjoint alertant les secteurs de l'eau, de l'énergie et des services gouvernementaux.
- Les organisations concernées doivent isoler leurs PLC d'Internet et auditer immédiatement leurs accès réseau industriels.
Ce qui s'est passé
Un groupe de hackers affilié à l'Iran mène depuis mars 2026 une campagne ciblant les automates programmables industriels (PLC) de marque Rockwell Automation et Allen-Bradley déployés dans les réseaux d'infrastructures critiques aux États-Unis. L'alerte provient d'un avis conjoint publié par le FBI, la CISA, la NSA, l'EPA, le département de l'Énergie et le Cyber National Mission Force (CNMF) du United States Cyber Command.
Les attaquants utilisent des infrastructures louées auprès de fournisseurs tiers et des logiciels de configuration industrielle, notamment Rockwell Automation Studio 5000 Logix Designer, pour établir des connexions légitimes vers les PLC des victimes. Une fois connectés, ils manipulent les données affichées sur les interfaces homme-machine (HMI) et les systèmes SCADA, provoquant des perturbations opérationnelles et des pertes financières.
Les secteurs visés incluent les systèmes d'eau et d'assainissement (WWS), l'énergie et les services gouvernementaux. Selon l'avis, ces attaques s'inscrivent dans une escalade des cyberopérations iraniennes contre des organisations américaines, dans le contexte des tensions géopolitiques impliquant l'Iran, les États-Unis et Israël.
Pourquoi c'est important
Les attaques contre les systèmes de contrôle industriel (ICS) représentent l'une des menaces les plus critiques en cybersécurité, car elles peuvent avoir des conséquences physiques directes : perturbation de la distribution d'eau potable, instabilité des réseaux électriques, ou dysfonctionnement d'équipements industriels. Le fait que les attaquants exploitent des PLC directement exposés sur Internet révèle des lacunes fondamentales dans la segmentation réseau de nombreuses organisations.
Cette campagne démontre également la sophistication croissante des acteurs étatiques, capables d'utiliser des outils de configuration industrielle légitimes pour passer sous les radars des défenses traditionnelles. Pour les entreprises françaises et européennes opérant dans les mêmes secteurs, c'est un signal d'alarme : les mêmes types d'automates sont largement déployés en Europe.
Ce qu'il faut retenir
- Ne jamais exposer de PLC ou de systèmes SCADA directement sur Internet — utiliser des VPN industriels et une segmentation réseau stricte.
- Auditer les accès aux logiciels de configuration industrielle (Studio 5000, etc.) et surveiller les connexions inhabituelles.
- Appliquer les recommandations du guide ANSSI sur la sécurité des systèmes industriels et mettre à jour les firmwares des automates.
Comment savoir si mes automates industriels sont exposés sur Internet ?
Utilisez des outils de scan réseau comme Shodan ou Censys pour vérifier si vos PLC sont accessibles depuis l'extérieur. Effectuez également un audit de vos règles de pare-feu et de segmentation réseau OT/IT. Tout automate accessible sans VPN ou authentification forte doit être immédiatement isolé.
Besoin d'un accompagnement expert ?
Ayi NEDJIMI vous accompagne sur vos projets cybersécurité et IA.
Prendre contactÀ propos de l'auteur
Ayi NEDJIMI
Expert Cybersécurité Offensive & Intelligence Artificielle
Ayi NEDJIMI est consultant senior en cybersécurité offensive et intelligence artificielle, avec plus de 20 ans d'expérience sur des missions à haute criticité. Il dirige Ayi NEDJIMI Consultants, cabinet spécialisé dans le pentest d'infrastructures complexes, l'audit de sécurité et le développement de solutions IA sur mesure.
Ses interventions couvrent l'audit Active Directory et la compromission de domaines, le pentest cloud (AWS, Azure, GCP), la rétro-ingénierie de malwares, le forensics numérique et l'intégration d'IA générative (RAG, agents LLM, fine-tuning). Il accompagne des organisations de toutes tailles — des PME aux grands groupes du CAC 40 — dans leur stratégie de sécurisation.
Contributeur actif à la communauté cybersécurité, il publie régulièrement des analyses techniques, des guides méthodologiques et des outils open source. Ses travaux font référence dans les domaines du pentest AD, de la conformité (NIS2, DORA, RGPD) et de la sécurité des systèmes industriels (OT/ICS).
Ressources & Outils de l'auteur
Articles connexes
Sondage : les Américains adoptent l'IA mais n'y croient pas
76 % des Américains ne font pas confiance à l'IA malgré une adoption croissante, selon un sondage Quinnipiac. 70 % craignent un impact négatif sur l'emploi.
Ninja Forms WordPress : faille critique RCE exploitée
Faille critique CVE-2026-0740 dans Ninja Forms File Uploads : exécution de code à distance sans authentification. Plus de 3 600 attaques détectées en 24h.
Docker CVE-2026-34040 : contournement AuthZ et accès hôte
CVE-2026-34040 permet de contourner les plugins AuthZ Docker via des requêtes surdimensionnées et créer des conteneurs privilégiés avec accès hôte.
Commentaires
Aucun commentaire pour le moment. Soyez le premier à commenter !
Laisser un commentaire