En bref

  • Itron, fournisseur américain de compteurs intelligents pour 110 millions de foyers et entreprises, confirme une intrusion sur ses systèmes internes.
  • Les attaquants ont déployé la famille de malwares Snow (Snowbelt, Snowglaze, Snowbasin) pour maintenir un accès persistant.
  • Itron affirme que les environnements clients hébergés et l'OT n'ont pas été touchés ; l'enquête se poursuit avec les autorités fédérales.

Ce qui s'est passé

Itron, équipementier basé à Liberty Lake (Washington) et fournisseur stratégique de compteurs intelligents pour l'eau, le gaz et l'électricité, a déclaré le 13 avril 2026 avoir détecté un accès non autorisé à certains de ses systèmes. La société a publié son alerte officielle ce 27 avril 2026 via un dépôt SEC 8-K, confirmant une intrusion sur le réseau d'entreprise et l'activation immédiate de son plan de réponse aux incidents. Itron affirme avoir engagé des cabinets externes en cybersécurité et notifié les forces de l'ordre.

Selon les éléments rendus publics, l'acteur malveillant a infecté les machines compromises avec trois souches distinctes baptisées Snowbelt, Snowglaze et Snowbasin, regroupées sous le nom Snow par les analystes. Cette boîte à outils est conçue pour la persistance et le mouvement latéral, ce qui suggère une opération préparée et probablement étatique. L'industriel précise que les portions hébergées chez les clients et les environnements opérationnels (OT) n'ont pas été touchées, et que l'activité n'a pas affecté la production ni le service.

Pourquoi c'est important

Itron équipe plus de 110 millions de points de mesure dans le monde, et ses solutions sont au cœur de la facturation et du pilotage de réseaux critiques. Une compromission de l'infrastructure interne d'un tel acteur ouvre un vecteur d'attaque indirecte sur les distributeurs d'énergie et d'eau, par le biais de mises à jour logicielles, de comptes de support ou d'identifiants partagés. Le scénario rappelle les opérations sur la chaîne d'approvisionnement déjà documentées contre les automates Rockwell visés par CyberAv3ngers.

L'intérêt stratégique d'un compromis chez Itron s'inscrit dans une tendance de fond : la sécurité des compteurs communicants et des passerelles AMI devient un sujet de souveraineté. Pour les opérateurs européens, l'incident impose de revoir la séparation IT/OT, d'auditer les chaînes de signature firmware et de contrôler l'usage des comptes de maintenance distants. La famille Snow, peu documentée jusqu'ici, vient enrichir un paysage déjà saturé, après les opérations FIRESTARTER sur Cisco ASA et la fuite de code source Checkmarx.

Ce qu'il faut retenir

  • Itron a confirmé via SEC 8-K du 27 avril 2026 une intrusion détectée le 13 avril sur son réseau interne.
  • La famille Snow (Snowbelt, Snowglaze, Snowbasin) a été utilisée pour la persistance ; les environnements OT clients seraient épargnés.
  • Les opérateurs utilisant des compteurs Itron doivent auditer les comptes support, les flux de mise à jour et les indicateurs réseau associés à la famille Snow, en cohérence avec les alertes CISA KEV récentes.

Quels sont les risques pour les utilisateurs finaux des compteurs Itron ?

Itron indique que les systèmes hébergés chez les clients et l'environnement OT n'ont pas été affectés à ce stade. Les particuliers ne devraient donc pas constater d'impact direct sur leur compteur. Les opérateurs, eux, doivent surveiller leurs portails de gestion et appliquer les indicateurs de compromission liés à la famille Snow dès qu'ils seront diffusés.

La famille Snow est-elle attribuée à un groupe APT connu ?

Aucune attribution officielle n'a été communiquée. Le caractère segmenté du toolkit (trois implants distincts pour la persistance, l'exfiltration et la latéralisation) et le ciblage d'un acteur d'infrastructure critique suggèrent une opération préparée, possiblement étatique. L'enquête fédérale en cours pourrait apporter des précisions dans les prochaines semaines.

Besoin d'un accompagnement expert ?

Ayi NEDJIMI vous accompagne sur vos projets cybersécurité et IA.

Prendre contact

Pour approfondir