En bref

• La CISA a signalé l’exploitation active d’une vulnérabilité critique (CVE-2021-26829) dans le logiciel industriel OpenPLC ScadaBR.
• La faille permet aux attaquants d’injecter du code malveillant dans l’interface web, affectant les versions Windows jusqu’à 1.12.4 et Linux jusqu’à 0.9.1.
• Le groupe hacktiviste lié à la Russie, TwoNet, a utilisé la faille pour compromettre un honeypot imitant une station de traitement de l’eau.
• Les attaquants ont utilisé des services cloud légitimes comme Google Cloud pour masquer leurs mouvements et échapper à la détection.
• Plus de 1 400 tentatives d’exploitation ont été observées, ciblant plus de 200 vulnérabilités à partir de la même infrastructure.

Au cœur du feu croisé numérique

Imaginez une salle de contrôle vibrant de l’énergie invisible des moteurs et des vannes, ses opérateurs inconscients que, derrière les voyants lumineux, des mains silencieuses sondent les failles. C’est la réalité à laquelle sont confrontées les industries du monde entier, alors que des saboteurs numériques braquent leur regard sur les cerveaux digitaux des infrastructures critiques. La dernière alerte de l’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) révèle qu’OpenPLC ScadaBR, un système de contrôle industriel open source populaire, est désormais dans la ligne de mire.

La vulnérabilité : une porte dérobée en pleine vue

Au cœur de la menace se trouve une faille de sécurité connue sous le nom de CVE-2021-26829, un bug de type cross-site scripting (XSS). Imaginez une faille dans le registre des visiteurs de la salle de contrôle - une faille qui permet à un intrus d’y glisser un faux message et de manipuler ce que voit le personnel. Techniquement, les attaquants peuvent injecter des scripts malveillants dans l’interface web du système, modifiant potentiellement les affichages, désactivant les alarmes ou même détournant les sessions utilisateur. Les versions jusqu’à 1.12.4 sur Windows et 0.9.1 sur Linux sont concernées, laissant de nombreuses installations exposées.

Hacktivistes, honeypots et marché de l’ombre

L’histoire a pris un tournant lorsque des chercheurs de Forescout, une société de sécurité, ont mis en place un honeypot - un leurre numérique se faisant passer pour une station de traitement de l’eau. En septembre 2025, un groupe hacktiviste pro-russe nommé TwoNet a pris l’appât pour la réalité. Utilisant les identifiants par défaut, ils ont accédé au système, créé un nouveau compte utilisateur et exploité la faille XSS pour défigurer la page de connexion avec un message : « Hacked by Barlati. » Leurs actions sont allées au-delà du simple vandalisme ; ils ont désactivé la journalisation et les alarmes, masquant potentiellement un sabotage plus profond. Heureusement, ils n’ont jamais réalisé qu’ils étaient tombés dans un piège.

Les opérations de TwoNet, remontant au début de 2025, révèlent une tendance plus large. Après avoir commencé par des attaques DDoS perturbatrices, ils se sont diversifiés dans le ransomware, le doxxing et la vente de services criminels à la demande. Leur utilisation de l’infrastructure Google Cloud a masqué leur origine, mêlant leur trafic malveillant au bruit numérique des activités légitimes. Les experts en sécurité ont observé plus de 1 400 tentatives d’exploitation depuis cette infrastructure, ciblant des centaines de vulnérabilités - preuve de l’automatisation à grande échelle de la cybercriminalité industrielle.

Un schéma qui se répète : la menace cyber-industrielle

Ce n’est pas la première fois que des systèmes de contrôle industriels sont pris pour cible. Des attaques comme Stuxnet, Industroyer et Triton ont montré comment la manipulation des commandes numériques d’infrastructures physiques peut provoquer un chaos bien réel. Le danger unique de ces vulnérabilités est qu’elles font le pont entre le virtuel et le physique - ce qui commence par une ligne de code peut finir par de l’eau contaminée, des alarmes de sécurité désactivées ou des chaînes de production à l’arrêt.

Le marché des exploits et des courtiers d’accès initiaux s’est développé à mesure que les enjeux augmentaient. Criminels, hacktivistes et même États-nations traquent désormais les faiblesses des logiciels industriels qui maintiennent l’électricité et l’eau en circulation. Leurs outils deviennent plus affûtés, et la frontière entre espièglerie numérique et sabotage n’a jamais été aussi floue.

WIKICROOK

• OpenPLC ScadaBR : OpenPLC ScadaBR est une plateforme open source qui combine la programmation d’automates (PLC) et la supervision SCADA pour automatiser et contrôler les processus industriels.
• Cross : Le Cross-Site Scripting (XSS) est une cyberattaque où des hackers injectent du code malveillant dans des sites web pour voler des données utilisateur ou détourner des sessions.
• Honeypot : Un honeypot est un faux système mis en place pour attirer les cyberattaquants, permettant aux organisations d’étudier les méthodes d’attaque sans mettre en danger leurs actifs réels.
• CVE (Common Vulnerabilities and Exposures) : Un CVE est un identifiant public unique pour une vulnérabilité de sécurité spécifique, permettant un suivi et une discussion cohérents dans l’industrie de la cybersécurité.
• Initial Access Broker : Un Initial Access Broker est un cybercriminel qui s’introduit dans des systèmes et revend l’accès à d’autres attaquants, permettant ainsi d’autres cybercrimes comme le ransomware ou le vol de données.