Ces dernières semaines, un risque que les spécialistes de la cybersécurité soient avertis depuis des années est devenu apparent : les contrôleurs logiques programmables, ou PLC, exposés à Internet, sont devenus une cible directe de campagnes liées à des États dotés de capacités informatiques offensives. Un avis conjoint émis par des agences fédérales américaines. Les États-Unis notent que des groupes liés au gouvernement iranien ont concentré leurs efforts sur les dispositifs Rockwell Automation / Allen-Bradley depuis mars 2026, provoquant des interruptions opérationnelles et des pertes économiques dans les réseaux d'infrastructures essentielles.
Le danger n'est pas théorique : les attaquants non seulement accèdent à l'équipement, ils extraient les fichiers de projet et manipulent ce que montrent les panneaux HMI et les systèmes SCADA. selon les enquêtes citées par les agences. Cette combinaison - l'exfiltration de la configuration et l'altération des interfaces de contrôle - est particulièrement inquiétante car elle permet à la fois la reconnaissance profonde de l'usine et l'exécution de changements qui peuvent passer inaperçus pour les opérateurs de confiance dans les fausses lectures.
Une analyse de surface d'attaque publiée par la firme Censys Internet censor a identifié plus de 5 200 hôtes qui répondent au protocole EtherNet / IP et sont auto-définis comme des dispositifs Rockwell / Allen-Bradley. Censys expliqué qu'environ les trois quarts de ces équipements se trouvent aux États-Unis et qu'un pourcentage important de ces appareils se trouvent dans des systèmes autonomes (NSA) d'opérateurs cellulaires, ce qui suggère des déploiements sur le terrain reliés par des modems cellulaires.
Le fait que de nombreux PLC soient accessibles depuis le réseau public n'est pas une coïncidence: des facteurs tels que les configurations par défaut, l'absence de pare-feu entre le réseau industriel et public, l'accès à distance mal sécurisé ou l'utilisation de connexions cellulaires sans segmentation peuvent transformer une équipe de contrôle en une fenêtre ouverte à l'intérieur d'une usine. De plus, les protocoles industriels comme EtherNet / IP révèlent souvent des signatures et des métadonnées qui facilitent l'identification automatisée des équipements vulnérables.
Cette éclosion d'activité est en hausse. En 2023 et au début de 2024, un groupe comme CyberAv3ngers a concentré ses campagnes sur les contrôleurs Unitronics et a pris des engagements dans les systèmes d'approvisionnement en eau et d'assainissement aux États-Unis; Alerte de la CISA sur cette affaire documente les tactiques et les recommandations qui sont de nouveau pertinentes aujourd'hui. D'autre part, les rapports des sociétés de sécurité ont lié des acteurs tels que Handala à l'effacement massif des appareils dans les grands réseaux d'entreprises, montrant l'étendue des techniques qui peuvent utiliser des groupes avec des objectifs différents.
Compte tenu de ce scénario, les mesures défensives sont claires mais exigeantes: isoler et segmenter les réseaux OT, empêcher PLC et HMI d'être directement accessibles depuis Internet, et appliquer des contrôles de périmètre, y compris des pare-feu et des passerelles spécifiques au trafic industriel. Il est également essentiel d'appliquer une authentification robuste - comme la vérification multifactorielle - pour l'accès à distance, de tenir le firmware et les projets à jour avec les correctifs officiels du fabricant, et de désactiver les services et les méthodes d'authentification inutilisés.
Une détection précoce peut faire une différence: surveiller les enregistrements des dispositifs et des flux réseau à la recherche de modèles inhabituels, examiner les connexions entrantes des fournisseurs d'hébergement étrangers ou NSA des opérateurs de cellules et effectuer des analyses contrôlées pour identifier les hôtes exposés devrait faire partie du fonctionnement régulier de tout équipement responsable de l'infrastructure critique. En outre, lorsqu'il existe un soupçon d'engagement, il convient de préserver les éléments de preuve et de notifier aux autorités compétentes et au fabricant eux-mêmes la coordination des réponses et des mesures d'atténuation.
Les opérateurs ne sont pas les seuls: les fabricants et les organismes publics publient des guides techniques et des avis à suivre. Rockwell Automation maintient les canaux de communication et les avis de sécurité sur son portail de support ; consultez-les pour les aider à appliquer des mesures d'atténuation spécifiques à votre PLC. Pour des politiques et pratiques plus générales en matière de sécurité dans les systèmes de contrôle industriel, le NIST SP 800-82 fournit un cadre technique consolidé que de nombreuses organisations considèrent comme une référence ( NIST SP 800-82).
Il est également recommandé d'examiner les analyses publiques et les notes techniques que les sociétés spécialisées en cybersécurité publient sur des campagnes et des outils spécifiques; le rapport Censys cité ci-dessus fournit des données sur l'exposition et des tendances en matière de détection; Unité 42 de Palo Alto a documenté d'autres opérations attribuées à des acteurs iraniens qui aident à comprendre les tactiques, techniques et procédures récurrentes.
La leçon est simple mais urgente: dans un monde où la connectivité à distance fait partie du fonctionnement standard, la sécurité des appareils industriels ne peut rester une responsabilité secondaire. Protéger les PLC, segmenter les réseaux et surveiller activement sont des mesures qui évitent les arrêts de production aux risques pour la sécurité publique, et sa mise en oeuvre devrait être une priorité pour toute organisation qui gère les infrastructures essentielles.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...
PinTheft l'explosion publique qui pourrait vous donner racine sur Arch Linux
Une nouvelle explosion publique a fait ressortir la fragilité du modèle de privilèges Linux : l'équipe de sécurité V12 a qualifié l'échec de Vol d'épingles et publié un test de ...