Ces dernières semaines, les agences de sécurité et de renseignement américaines ont ouvert une alarme qui mérite d'être prise en compte : des groupes liés à l'Iran concentrent leurs efforts sur les dispositifs de technologie opérationnelle (OT) qui sont exposés à Internet, en particulier les contrôleurs logiques programmables (PLC) des fabricants largement utilisés dans les infrastructures critiques. C'est un modèle qui cherche non seulement l'espionnage numérique, mais la manipulation directe des processus industriels avec des effets allant de la modification de l'écran aux interruptions opérationnelles et aux pertes économiques.
L'avis, diffusé par des agences telles que le FBI et partagé par d'autres entités du secteur, décrit une technique cohérente: les attaquants établissent des connexions légitimes avec PLC en utilisant des logiciels de configuration industrielle - dans certains cas en utilisant des plates-formes telles que Rockwell Automation Studio 5000 - pour extraire les fichiers de projet et modifier les informations affichées sur les interfaces homme-machine (HMI) et sur les systèmes SCADA. Pour garder l'accès à distance, les intrus installent le logiciel SSH (l'utilisation de Dropbear a été identifiée) aux points compromis, leur permettant de fonctionner par le port 22 et d'extraire des données ou d'injecter des modifications.
Parmi les cibles figurent des dispositifs spécifiques de la famille Allen- Bradley, tels que CompactLogix et Micro850, déployés dans les services gouvernementaux, les centrales à eau et les systèmes énergétiques. Le risque est qu'une manipulation discrète des lectures ou de la logique de contrôle entraîne de mauvaises décisions humaines ou des arrêts imprévus de l'équipement critique, un scénario que les organisations doivent éviter à tout prix.
Ces opérations s'inscrivent dans le cadre d'une escalade plus large des cyberattaques attribuées aux acteurs iraniens, qui, selon plusieurs analyses récentes, comprennent des campagnes de déni de service (DDoS), des fuites et des actions coordonnées de désinformation par le biais de réseaux publics et de canaux de messagerie tels que Telegram. Les chercheurs et les sociétés de renseignement ont souligné qu'en plus d'opérer avec des groupes présentés comme des pirates, il existe une couche qui fonctionne comme un écosystème d'influence et d'attaque avec des liens avec les structures de l'État. Pour approfondir cet écosystème et son intégration entre les opérations techniques et l'amplification des médias, on peut consulter les rapports d'entreprises spécialisées dans le renseignement sur les menaces. Outils de domaine et des analyses publiées par des groupes tels que Recherche au point de contrôle et Avenir enregistré.
Ce n'est pas la première fois que des intrusions sur des environnements OT ont été détectées aux États-Unis. À la fin de l'année dernière, il y a eu une campagne qui a compromis les dispositifs d'Unitonics dans une administration de l'eau en Pennsylvanie, où des dizaines d'équipes ont été trouvées affectées. La répétition de ce schéma montre que les attaquants ont accordé des techniques et sont prêts à réutiliser des outils et des méthodologies pour toucher des points sensibles. Organisations telles que FBI et CISA ont documenté l'évolution de ces menaces et émis des recommandations pour la protection de l'environnement en OT.
Un autre aspect inquiétant est l'hybridation entre les acteurs de l'État et les écosystèmes criminels : des rapports techniques récents décrivent l'utilisation de cadres et de services de logiciels malveillants développés à l'origine sur le marché criminel en tant que composants dans les opérations parrainées par l'État. Projets tels que CastleLoader / CastleRAT, Power Des chargeuses Shell qui déclenchent des charges supplémentaires et même des mécanismes de commande et de contrôle créatifs (C2) par le biais de chaînes publiques de serrures, illustrent comment les techniques d'avant-garde criminelles sont mélangées avec des objectifs stratégiques. Des recherches ouvertes sur ces familles d'outils peuvent être trouvées dans des sources telles que JUMPEC et diverses analyses industrielles.
Que devraient faire les organisations qui gèrent l'OT? Les recommandations des organismes sont claires et pratiques : ne pas exposer directement le PLC au réseau public et limitent la possibilité de modifications à distance par des contrôles physiques ou logiques; placent une barrière de réseau - un pare-feu ou un proxy - entre les contrôleurs et le reste du réseau; activent une authentification robuste, idéalement avec multifacteurs; maintiennent le firmware et le logiciel de configuration à jour; désactivent les mécanismes d'authentification qui ne sont pas utilisés et surveillent continuellement le trafic à la recherche de connexions inhabituelles. Ces mesures ne garantissent pas l'immunité totale, mais elles augmentent considérablement le coût et la complexité d'un attaquant.
En plus des mesures techniques, il existe une composante organisationnelle : intégration de la protection OT dans les programmes de cybersécurité des entreprises, réalisation d'exercices comprenant des scénarios de traitement des processus et amélioration des canaux de communication entre l'équipement informatique et l'équipement OT. La convergence entre les réseaux d'entreprises et le contrôle industriel nécessite une coordination et des pratiques de réaction alignées, car la détection précoce de l'informatique peut empêcher un engagement envers l'OT et vice versa.
La combinaison de tactiques éprouvées - utilisation d'infrastructures tierces, réutilisation d'outils d'accès à distance et exploitation de logiciels de configuration industrielle légitimes - et d'une stratégie d'influence et d'amplification dans les médias sociaux et les réseaux, définit un risque complexe qui combine capacité technique et objectifs géostratégiques. Face à cela, la clé est non seulement de se garer ou de segmenter les réseaux, mais de comprendre la menace comme faisant partie d'un tableau plus large où l'État, les mandataires et les acteurs criminels se nourrissent.
Pour ceux qui veulent approfondir, il est conseillé de revoir les communications et alertes des agences officielles et les analyses techniques publiées par les sociétés de renseignement de cybersécurité. Des pages comme FBI, CISA et les rapports de l'industrie disponibles en Recherche au point de contrôle, Avenir enregistré ou Outils de domaine offrir des éléments pour mieux comprendre les tactiques observées et les actions recommandées.
La leçon pour les opérateurs et les gestionnaires est claire: ne sous-estiment pas la capacité de dommages en OT ou le rythme auquel ces campagnes évoluent. L'architecture de contrôle industriel a été conçue pour la disponibilité et la sécurité physique, pour ne pas résister à une offensive numérique sophistiquée; la mise à jour sur les deux fronts est aujourd'hui plus que jamais une priorité incontournable.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...