Les agences de sécurité américaines ont lancé un appel urgent: un groupe d'acteurs liés à l'Iran ciblent les contrôleurs logiques programmables (PLC) de Rockwell / Allen-Bradley accessibles depuis Internet au sein des réseaux d'infrastructures critiques aux États-Unis. L'avertissement, signé conjointement par le FBI, la CISA, la NSA, l'EPA, le Département de l'énergie et la Cyber Command des États-Unis - Cyber National Mission Force, décrit une campagne active qui, selon ces agences, a causé des pertes économiques et des changements opérationnels depuis mars 2026. Vous pouvez lire le document officiel dans l'avis partagé IC3 Voilà..
Pour comprendre la gravité de la question, il est important de se rappeler ce que sont ces dispositifs : le PLC est l'épine dorsale de nombreux processus industriels et de service public, car ils orchestrent des pompes, des valves, des moteurs et des mesures qui maintiennent en place les centrales à eau, les réseaux énergétiques et les bâtiments gouvernementaux. Lorsqu'un PLC est directement exposé à Internet, il perd la protection du périmètre et devient une cible accessible pour les attaquants qui cherchent à manipuler la logique de contrôle ou les informations montrées par les panneaux HMI et SCADA.
L'avis conjoint indique plusieurs secteurs d'infrastructures essentielles, y compris les services gouvernementaux, les systèmes d'eau et d'eaux usées et l'énergie, et détaille des tactiques spécifiques : extraction de fichiers de projet à partir des appareils eux-mêmes et modification des écrans HMI / SCADA pour afficher de fausses valeurs ou cacher des incidents. Ce type de manipulation cause non seulement des pertes économiques dues à des interruptions, mais peut mettre la sécurité publique en danger si des opérations critiques sont détournées ou paralysées.
Ce n'est pas une nouvelle menace pour l'écosystème de l'OT : dès novembre 2023, la CISA a mis en garde contre les activités d'un groupe appelé CyberAv3ngers, lié au Corps de la Garde Révolutionnaire Islamique (IRGC), qui exploitait les systèmes Unitonics et engageait des dizaines de PLC dans les réseaux américains. selon la CISA elle-même. Ce précédent montre que les acteurs dotés de ressources étatiques ou affiliées à l'État peuvent maintenir des campagnes persistantes et spécifiques contre les technologies de contrôle industriel.
Dans ce contexte, les organismes responsables ont mis l ' accent sur les mesures pratiques visant à réduire la surface des attaques. Il recommande notamment d'isoler le PLC de l'accès direct à Internet ou de le protéger avec des pare-feu adéquats, d'examiner les dossiers et de rechercher des indicateurs de compromis que les organismes ont partagés, et de surveiller le trafic anormal vers les ports OT typiques, surtout si l'origine provient de fournisseurs d'hébergement à l'étranger. Il est également conseillé de mettre en œuvre l'authentification multifacteurs pour l'accès aux réseaux OT, mettre à jour le firmware et désactiver les services et les identifiants par défaut qui ne sont pas utilisés. Ce sont des mesures de bon sens dans la cybersécurité industrielle : moins d'exposition, plus d'authentification, des patchs quotidiens et une surveillance continue. La CISA dispose de ressources et de guides pour assurer la disponibilité des environnements de contrôle industriel sur son portail de systèmes de contrôle industriel Voilà..
L'avertissement s'inscrit dans un contexte géopolitique tendu : les agences attribuent l'intensification de ces campagnes aux acteurs de type iranien et l'associent à l'escalade des hostilités entre l'Iran et les États-Unis ou Israël. En outre, l'avis rappelle les récents épisodes d'impact public, tels que les opérations de groupe hacktivistes et les rapports sur l'utilisation de plateformes de messagerie pour distribuer des logiciels malveillants, ce qui souligne que la menace combine des capacités techniques avec des motivations politiques et des campagnes de désinformation ou de vandalisme.
Pour les opérateurs et les responsables de la sécurité dans les entreprises qui gèrent les actifs OT, la clé est d'agir rapidement et avec des priorités claires. Tout d'abord, identifier quels PLC sont exposés et couper cet accès direct si ce n'est pas strictement nécessaire. Ensuite, appliquer des contrôles de périmètre, segmenter le réseau de sorte qu'un composant engagé ne permette pas de passer latéralement aux systèmes critiques, et examiner les projets stockés sur les appareils au cas où ils auraient été supprimés ou modifiés. Enfin, établir une surveillance qui détecte les changements dans les écrans HMI / SCADA et les schémas de trafic inhabituels qui peuvent indiquer une manipulation.
Pour leur part, les fabricants et les fournisseurs de solutions de contrôle devraient publier des avis de sécurité, des correctifs et des bonnes pratiques propres à leurs produits; Rockwell Automation, par exemple, dispose d'un espace avec des avertissements de sécurité et des recommandations que les responsables peuvent consulter pour mettre en œuvre les mises à jour et les mesures d'atténuation recommandées. sur votre portail de sécurité.
Bref, la combinaison d'acteurs persistants, d'appareils industriels exposés et la possibilité de modifier l'information opérationnelle font de cette campagne un appel de réveil : La cybersécurité industrielle n'est pas une question théorique mais une question de continuité opérationnelle et de sécurité publique.. Ceux qui gèrent les infrastructures essentielles devraient accorder la priorité à la réduction de l'exposition, à l'application de contrôles d'accès robustes, au stationnement et à la surveillance constante, et s'appuyer sur des guides officiels pour réagir rapidement à tout signe d'intrusion.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...
PinTheft l'explosion publique qui pourrait vous donner racine sur Arch Linux
Une nouvelle explosion publique a fait ressortir la fragilité du modèle de privilèges Linux : l'équipe de sécurité V12 a qualifié l'échec de Vol d'épingles et publié un test de ...