Le FBI, la CISA, la NSA, l’EPA, le d\u00e9partement de l’\u00c9nergie et le Cyber Command am\u00e9ricain ont publi\u00e9 un avis conjoint qui ne laisse pas beaucoup de place au doute. Des hackers affili\u00e9s \u00e0 l’Iran ciblent activement les automates programmables connect\u00e9s \u00e0 internet sur le sol am\u00e9ricain.<\/p>\n
Plus pr\u00e9cis\u00e9ment, ce sont les contr\u00f4leurs Rockwell Automation \/ Allen-Bradley qui sont vis\u00e9s, et si vous ne comprenez pas de quoi on parle, ce sont en fait les petits ordinateurs industriels qui pilotent des vannes, des pompes ou des turbines dans les usines.<\/p>\n
Le groupe en question, d\u00e9j\u00e0 connu sous le nom de CyberAv3ngers et li\u00e9 au Corps des Gardiens de la r\u00e9volution islamique, scanne le web \u00e0 la recherche de PLC expos\u00e9s sur plusieurs ports (44818, 2222, 102, 502).<\/p>\n
Une fois en place, les attaquants peuvent manipuler les interfaces homme-machine et les \u00e9crans SCADA, modifier des fichiers de projet et, dans certains cas, tenter de d\u00e9ployer des malwares de type “wiper” pour effacer les donn\u00e9es des syst\u00e8mes compromis.<\/p>\n
Les secteurs touch\u00e9s sont ceux qu’on redoute le plus dans ce genre de sc\u00e9nario : stations de traitement d’eau, installations \u00e9nerg\u00e9tiques (centrales, raffineries), et m\u00eame des collectivit\u00e9s locales. Plusieurs victimes ont subi des arr\u00eats de production forc\u00e9s, avec un basculement en mode manuel et des pertes financi\u00e8res que le FBI n’a pas voulu chiffrer publiquement.<\/p>\n
Ce n’est pas la premi\u00e8re fois que ce groupe fait parler de lui. Fin 2023, CyberAv3ngers avait d\u00e9j\u00e0 pirat\u00e9 des automates Unitronics dans une station d’eau en Pennsylvanie, tout simplement en exploitant des mots de passe par d\u00e9faut.<\/p>\n
D\u00e8s 2024, ils sont pass\u00e9s \u00e0 la vitesse sup\u00e9rieure avec du malware sur mesure contre des syst\u00e8mes d’eau et de carburant. La campagne actuelle, qui est active depuis mars 2026, marque un nouveau cran dans l’escalade.<\/p>\n
M\u00eame s’il baisse un peu en intensit\u00e9 depuis quelques heures, le conflit entre les \u00c9tats-Unis, Isra\u00ebl et l’Iran a d\u00e9but\u00e9 le 28 f\u00e9vrier 2026 avec des frappes a\u00e9riennes. Depuis, les op\u00e9rations cyber iraniennes se sont acc\u00e9l\u00e9r\u00e9es, aussi bien contre des cibles am\u00e9ricaines qu’isra\u00e9liennes.<\/p>\n
“Les acteurs iraniens bougent plus vite, plus largement, et ciblent d\u00e9sormais \u00e0 la fois les infrastructures IT et OT”, a r\u00e9sum\u00e9 Sergey Shykevich, chercheur chez Check Point.<\/p>\n
C\u00f4t\u00e9 recommandations, les agences am\u00e9ricaines demandent aux op\u00e9rateurs de d\u00e9connecter imm\u00e9diatement tous les \u00e9quipements industriels d’internet, d’appliquer les correctifs Rockwell, d’activer l’authentification multifacteur et de surveiller le trafic entrant sur les ports concern\u00e9s. Le b.a.-ba donc, mais visiblement pas encore appliqu\u00e9 partout.<\/p>\n
En tous cas, six agences f\u00e9d\u00e9rales qui publient un avis commun, \u00e7a donne une id\u00e9e de la gravit\u00e9 du truc. Le fait que des hackers puissent encore trouver des automates industriels directement accessibles depuis internet en 2026, c’est quand m\u00eame assez idiot. Surtout quand ils contr\u00f4lent des stations d’eau ou des centrales \u00e9nerg\u00e9tiques.<\/p>\n