Des hackers iraniens exploitent des automates Rockwell/Allen-Bradley pour perturber des infrastructures critiques US. Le FBI et la CISA alertent les secteurs de l'eau et de l'énergie.
En bref
- Des hackers liés à l'Iran exploitent des automates programmables (PLC) Rockwell/Allen-Bradley exposés sur Internet pour perturber des infrastructures critiques américaines.
- Le FBI, la CISA, la NSA et plusieurs agences fédérales ont publié un avis conjoint alertant les secteurs de l'eau, de l'énergie et des services gouvernementaux.
- Les organisations concernées doivent isoler leurs PLC d'Internet et auditer immédiatement leurs accès réseau industriels.
Ce qui s'est passé
Un groupe de hackers affilié à l'Iran mène depuis mars 2026 une campagne ciblant les automates programmables industriels (PLC) de marque Rockwell Automation et Allen-Bradley déployés dans les réseaux d'infrastructures critiques aux États-Unis. L'alerte provient d'un avis conjoint publié par le FBI, la CISA, la NSA, l'EPA, le département de l'Énergie et le Cyber National Mission Force (CNMF) du United States Cyber Command.
Les attaquants utilisent des infrastructures louées auprès de fournisseurs tiers et des logiciels de configuration industrielle, notamment Rockwell Automation Studio 5000 Logix Designer, pour établir des connexions légitimes vers les PLC des victimes. Une fois connectés, ils manipulent les données affichées sur les interfaces homme-machine (HMI) et les systèmes SCADA, provoquant des perturbations opérationnelles et des pertes financières.
Les secteurs visés incluent les systèmes d'eau et d'assainissement (WWS), l'énergie et les services gouvernementaux. Selon l'avis, ces attaques s'inscrivent dans une escalade des cyberopérations iraniennes contre des organisations américaines, dans le contexte des tensions géopolitiques impliquant l'Iran, les États-Unis et Israël.
Pourquoi c'est important
Les attaques contre les systèmes de contrôle industriel (ICS) représentent l'une des menaces les plus critiques en cybersécurité, car elles peuvent avoir des conséquences physiques directes : perturbation de la distribution d'eau potable, instabilité des réseaux électriques, ou dysfonctionnement d'équipements industriels. Le fait que les attaquants exploitent des PLC directement exposés sur Internet révèle des lacunes fondamentales dans la segmentation réseau de nombreuses organisations.
Cette campagne démontre également la sophistication croissante des acteurs étatiques, capables d'utiliser des outils de configuration industrielle légitimes pour passer sous les radars des défenses traditionnelles. Pour les entreprises françaises et européennes opérant dans les mêmes secteurs, c'est un signal d'alarme : les mêmes types d'automates sont largement déployés en Europe.
Ce qu'il faut retenir
- Ne jamais exposer de PLC ou de systèmes SCADA directement sur Internet — utiliser des VPN industriels et une segmentation réseau stricte.
- Auditer les accès aux logiciels de configuration industrielle (Studio 5000, etc.) et surveiller les connexions inhabituelles.
- Appliquer les recommandations du guide ANSSI sur la sécurité des systèmes industriels et mettre à jour les firmwares des automates.
Comment savoir si mes automates industriels sont exposés sur Internet ?
Utilisez des outils de scan réseau comme Shodan ou Censys pour vérifier si vos PLC sont accessibles depuis l'extérieur. Effectuez également un audit de vos règles de pare-feu et de segmentation réseau OT/IT. Tout automate accessible sans VPN ou authentification forte doit être immédiatement isolé.
Besoin d'un accompagnement expert ?
Ayi NEDJIMI vous accompagne sur vos projets cybersécurité et IA.
Prendre contactÀ propos de l'auteur
Ayi NEDJIMI
Auditeur Senior Cybersécurité & Consultant IA
Expert Judiciaire — Cour d'Appel de Paris
Habilitation Confidentiel Défense
ayi@ayinedjimi-consultants.fr
Ayi NEDJIMI est un vétéran de la cybersécurité avec plus de 25 ans d'expérience sur des missions critiques. Ancien développeur Microsoft à Redmond sur le module GINA (Windows NT4) et co-auteur de la version française du guide de sécurité Windows NT4 pour la NSA.
À la tête d'Ayi NEDJIMI Consultants, il réalise des audits Lead Auditor ISO 42001 et ISO 27001, des pentests d'infrastructures critiques, du forensics et des missions de conformité NIS2 / AI Act.
Conférencier international (Europe & US), il a formé plus de 10 000 professionnels.
Domaines d'expertise
Ressources & Outils de l'auteur
Articles connexes
FIRESTARTER : APT persistant sur les pare-feu Cisco ASA
CISA et le NCSC britannique alertent sur FIRESTARTER, un implant déployé par l'APT UAT-4356 sur les pare-feu Cisco ASA et Firepower. Le malware survit aux patchs et aux reboots logiciels.
ADT confirme une fuite : ShinyHunters menace 10 M de clients
Le géant américain de la sécurité résidentielle ADT confirme une fuite après une attaque vishing sur Okta SSO. ShinyHunters revendique 10 millions de dossiers et fixe un ultimatum au 27 avril.
Pack2TheRoot CVE-2026-41651 : root Linux pour tous (8.8)
Une faille critique dans PackageKit (CVE-2026-41651, CVSS 8.8) permet à tout utilisateur Linux non privilégié d'obtenir root sur la majorité des distributions, du serveur Ubuntu LTS au poste Fedora.
Commentaires (1)
Laisser un commentaire