Netcrook Logo
👤 AGONY
🗓️ 10 Apr 2026   🌍 North America

Ombre sur le réseau : des hackers iraniens ciblent plus de 5 000 contrôleurs industriels américains

Des milliers de PLC Rockwell critiques laissés exposés en ligne alors que des opérateurs cyber liés à l’Iran intensifient leur campagne contre les infrastructures américaines.

Juste après l’aube du 7 avril, une coalition rare d’agences américaines de renseignement et de cybersécurité a tiré la sonnette d’alarme : des hackers affiliés à l’État iranien ciblent activement les cerveaux numériques des réseaux d’eau, d’énergie et des opérations gouvernementales américaines. Leur proie ? Plus de 5 000 contrôleurs industriels Rockwell Automation - PLCs - laissés totalement accessibles sur Internet, certains fonctionnant avec des logiciels obsolètes, beaucoup étant au cœur de services essentiels. L’avertissement est sans équivoque : il ne s’agit pas d’un exercice, mais d’une véritable campagne d’attaques contre les systèmes qui maintiennent l’électricité et l’eau en circulation.

Selon Censys, une société de scan Internet de premier plan, la grande majorité de ces contrôleurs exposés - plus de 74 % - se trouvent aux États-Unis, reflet de l’implantation profonde de Rockwell dans l’industrie nord-américaine. Le reste est disséminé en Europe et en Asie, avec des foyers notables en Espagne, à Taïwan et même en Islande, où l’automatisation industrielle est vitale pour la géothermie. Ce qui inquiète le plus : la majorité de ces PLC ne sont pas protégés derrière des pare-feux d’entreprise. Ils sont au contraire exposés, connectés via des modems cellulaires - souvent dans des stations de pompage isolées ou des installations municipales - ce qui en fait des cibles faciles pour des attaquants disposant des bons outils.

Les groupes liés à l’Iran, dont les tristement célèbres CyberAv3ngers, ne perdent pas de temps avec des exploits sophistiqués. Ils utilisent à la place des logiciels standards de Rockwell comme Studio 5000 Logix Designer pour accéder aux PLC, modifier les fichiers de projet et même manipuler les données affichées sur les panneaux opérateurs. Sans besoin de vulnérabilités zero-day, les attaquants passent simplement par la porte d’entrée numérique, profitant d’une authentification faible ou absente et d’une gestion négligée des appareils.

Les appareils exposés sont en grande majorité d’anciens modèles MicroLogix 1400 et CompactLogix, beaucoup fonctionnant avec des firmwares obsolètes et non supportés. Cette technologie vieillissante constitue un point faible : les adversaires peuvent la scanner, l’identifier et la cibler en priorité. Pire encore, nombre de ces PLC exposés sur Internet offrent aussi d’autres services à risque comme VNC, Telnet et Modbus, élargissant la surface d’attaque et multipliant les portes d’entrée pour les hackers.

Les enquêtes ont retracé une grande partie de l’infrastructure des opérateurs jusqu’à un poste de travail d’ingénierie unique dans un data center européen, utilisé comme centre de contrôle de la campagne. Parallèlement, certaines attaques semblent provenir de serveurs de “staging” éphémères, mis en ligne juste assez longtemps pour compromettre leurs cibles avant de disparaître.

Les agences fédérales et les experts en sécurité sont unanimes dans leurs recommandations : déconnecter immédiatement ces PLC d’Internet, faire passer tout accès distant par des passerelles sécurisées et verrouiller tous les autres services exposés. Pour l’instant, la menace est bien réelle et continue - un signal d’alarme pour toute organisation dépendant de l’automatisation industrielle, nous rappelant que les mondes numérique et physique sont plus que jamais imbriqués… et vulnérables.

WIKICROOK

  • PLC (Automate Programmable Industriel) : Un PLC est un ordinateur robuste qui automatise et contrôle les machines et processus industriels dans les usines, installations et autres environnements industriels.
  • APT (Menace Persistante Avancée) : Une Menace Persistante Avancée (APT) est une cyberattaque ciblée de longue durée menée par des groupes expérimentés, souvent soutenus par des États, visant à voler des données ou perturber des opérations.
  • HMI/SCADA : Interface Homme-Machine et Contrôle/Acquisition de Données, systèmes de supervision et de contrôle des opérations industrielles.
  • EtherNet/IP : EtherNet/IP est un protocole industriel qui connecte et gère les dispositifs d’automatisation via des réseaux Ethernet, permettant la communication en temps réel dans les environnements de production.
  • Firmware : Le firmware est un logiciel spécialisé stocké dans les appareils matériels, gérant leurs opérations de base et leur sécurité, et leur permettant de fonctionner correctement.
Iranian Hackers Industrial Controllers Cybersecurity Threats
AGONY AGONY
Elite Offensive Security Commander
← Back to news