TL;DR : L’essentiel
- Les autorités fédérales, dont le FBI et la CISA, signalent une campagne de sabotage menée par des groupes liés à l’Iran contre les secteurs critiques de l’énergie et de l’eau.
- Les chercheurs de Censys ont identifié plus de 5 200 automates Rockwell Automation exposés sur internet, dont près de 75 % sont situés aux États-Unis, souvent via des réseaux cellulaires.
- Les attaquants manipulent les fichiers de projet et les interfaces SCADA, provoquant des interruptions opérationnelles et des pertes financières au sein des infrastructures de services publics et gouvernementales.
Le 7 avril 2026, un groupement d’agences fédérales incluant le FBI, la CISA, la NSA et l’EPA a publié un avis conjoint alertant sur une intensification des cyberattaques iraniennes contre les infrastructures critiques nationales. Selon les informations rapportées par BleepingComputer, ces offensives visent spécifiquement les automates programmables industriels (PLC) de la marque Rockwell Automation. Cette campagne, attribuée à des acteurs liés au Corps des Gardiens de la révolution islamique, s’inscrit dans un contexte d’escalade des hostilités militaires impliquant les États-Unis, Israël et l’Iran.
Les contrôleurs industriels exposés facilitent le sabotage technique
Une analyse technique menée par le cabinet de recherche spécialisé et publiée par SecurityAffairs révèle que plus de 5 200 dispositifs sont actuellement exposés mondialement. Près de 75 % de ces machines se trouvent sur le sol américain, une concentration qui s’explique par la domination commerciale de Rockwell en Amérique du Nord. Les modèles identifiés appartiennent principalement aux familles MicroLogix et CompactLogix, souvent dotés de micrologiciels obsolètes. La vulnérabilité est accentuée par l’utilisation de liaisons cellulaires ou satellites, comme celles des fournisseurs Verizon ou AT&T, qui compliquent le déploiement de correctifs de sécurité.
Les pirates parviennent à extraire des fichiers de configuration et à modifier les données affichées sur les interfaces homme-machine (HMI). Comme le souligne The Guardian, ces manipulations dans les réseaux de traitement des eaux usées et d’eau potable menacent directement la résilience des communautés en permettant l’introduction de contaminants ou la dégradation physique des équipements. L’avis souligne que si d’autres fabricants produisent des dispositifs similaires, ils ne sont pas explicitement mentionnés comme cibles dans cette vague d’alertes.
L'essentiel Cybersécurité, IA & Tech
Rejoignez la communauté. 3 fois par semaine, recevez l'analyse des tendances par Marc Barbezat. Pas de spam, juste de l'info.
Une escalade cybernétique liée aux tensions géopolitiques mondiales
Le mode opératoire identifié rappelle les activités passées du groupe CyberAv3ngers qui, fin 2023, avait déjà compromis environ 75 dispositifs d’une autre marque industrielle. L’enquête de Wired précise que ces acteurs ne se limitent plus au simple vandalisme numérique, mais cherchent désormais à provoquer des arrêts de production coûteux. Parallèlement, le collectif Handala a récemment été associé au sabotage de 80 000 terminaux appartenant à un géant américain des technologies médicales, illustrant une volonté de porter le conflit sur le terrain des infrastructures civiles essentielles.
Pour les exploitants de réseaux, l’impératif immédiat demeure la déconnexion stricte des automates du réseau internet public ou leur protection derrière des pare-feu robustes avec authentification multifacteur. Dans le cadre du conflit opposant les États-Unis et Israël à l’Iran, cette exploitation systématique des systèmes industriels connectés confirme que la distribution d’énergie et d’eau constitue désormais un nouveau front d’affrontement.
FAQ Cybersécurité : comprendre les enjeux du sabotage industriel
Qu’est-ce qu’un contrôleur industriel (PLC) ?
Un automate programmable industriel, ou PLC, est le « cerveau » numérique qui pilote les machines physiques dans une usine ou une station de traitement d’eau. Il traduit les commandes informatiques en actions mécaniques, comme l’ouverture d’une vanne ou le démarrage d’une pompe. Lorsqu’un automate comme ceux de Rockwell Automation est exposé sur internet sans protection, un attaquant peut en prendre le contrôle à distance pour saboter ces processus physiques.
Qui est le groupe CyberAv3ngers ?
Ce collectif de hackers est officiellement lié au Corps des Gardiens de la révolution islamique (IRGC) d’Iran. Spécialisé dans les attaques contre les technologies opérationnelles (OT), le groupe s’est fait connaître en ciblant des équipements industriels pour porter des messages politiques ou perturber des services essentiels, principalement en Israël et aux États-Unis. Leurs méthodes incluent la défiguration d’écrans de contrôle et la corruption profonde des codes sources des appareils.
Quels types d’attaques subissent les réseaux d’eau et d’énergie ?
Les attaquants utilisent principalement l’injection de code malveillant dans les fichiers de projet et la manipulation des systèmes SCADA. En modifiant les données affichées sur les interfaces homme-machine (HMI), ils peuvent tromper les opérateurs humains en leur montrant des niveaux de pression ou de sécurité normaux alors que le système est en réalité en train de subir une défaillance ou un sabotage matériel.
Pourquoi l’Iran cible-t-il spécifiquement les infrastructures critiques ?
Les secteurs de l’eau et de l’énergie sont des cibles de choix pour la guerre asymétrique, car leur interruption a un impact immédiat sur la santé publique, l’économie et le sentiment de sécurité des populations. En visant ces points névralgiques, les acteurs iraniens cherchent à exercer une pression politique maximale sur le gouvernement américain en réponse aux hostilités diplomatiques et militaires régionales.
Pour approfondir le sujet
Handala paralyse Stryker : l'Iran intensifie sa guerre numérique
Le groupe Handala neutralise des milliers de terminaux chez le géant médical Stryker. Cette offensive illustre la stratégie cyber de Téhéran à l'échelle mondiale. Lire la suite
L'IA accélère les frappes pendant que l'Iran contre-attaque en ligne
Les États-Unis et Israël déploient l'intelligence artificielle pour accélérer renseignement, ciblage et planification militaires. En réaction, les hackers iraniens lancent espionnage massif, DDoS et malwares contre les infrastructures régionales et occidentales. Lire la suite
Actualités liées
Des failles dans les réservoirs de carburant étendent la portée de la cyberoffensive iranienne
Les experts en sécurité avertissent depuis longtemps que les systèmes de jaugeage automatique de réservoirs (ATG) non sécurisés exposés sur Internet peuvent être falsifiés par des acteurs malveillants. Lire la suite
Cette veille vous a fait gagner du temps ?
Aidez DCOD à payer ses serveurs et à rester 100% gratuit et indépendant.
