Les agences américaines alertent sur des cyberattaques iraniennes visant les infrastructures critiques via des automates industriels mal sécurisés.

Les plus hautes instances de la cybersécurité américaine ont tiré la sonnette d’alarme. Dans un avis conjoint publié ce mardi 7 avril 2026, le FBI, la CISA (Cybersecurity and Infrastructure Security Agency) et la NSA, entre autres, mettent en garde contre une campagne d’attaques informatiques menée par des acteurs affiliés à l’Iran. Ces derniers ciblent les infrastructures critiques des États-Unis en exploitant les vulnérabilités de systèmes de technologie opérationnelle (OT) directement connectés à Internet.

Ces systèmes, qui incluent des automates programmables industriels (PLC), sont au cœur du fonctionnement des réseaux d’eau, des centrales énergétiques et d’autres services essentiels. L’offensive, qui a débuté au moins en mars 2026, a déjà provoqué des perturbations opérationnelles et des pertes financières pour plusieurs organisations.

Un mode opératoire d’une simplicité inquiétante

Selon les experts, la sophistication technique n’est pas le principal moteur de ces attaques. C’est avant tout la mauvaise configuration des systèmes visés qui ouvre la brèche. Aras Nazarovas, Chercheur Senior en sécurité de l’information chez Cybernews (https://cybernews.com), une publication en ligne spécialisée dans l’analyse des menaces informatiques, décrypte la situation.

« Les attaquants ne se sont appuyés sur rien de particulièrement avancé. Ils ont profité de systèmes de technologie opérationnelle qui étaient censés être isolés mais qui se sont retrouvés exposés à Internet. C’est un problème très courant dans les systèmes OT, et le même type d’attaque peut être répété encore et encore, jusqu’à ce que les systèmes soient correctement sécurisés », explique-t-il.

Les pirates utiliseraient des infrastructures hébergées à l’étranger pour se connecter à des automates de marque Rockwell Automation/Allen-Bradley, manipulant les fichiers de projet pour perturber les opérations et altérer les données affichées sur les interfaces de contrôle (HMI et SCADA).

La faille de l’isolement, talon d’Achille des systèmes industriels

La sécurité des environnements industriels repose sur un paradigme fondamentalement différent de celui de l’informatique de bureau classique. Conçus pour fonctionner en continu, ces systèmes privilégient la disponibilité à la sécurité.

« Les environnements OT n’ont souvent pas les mêmes contrôles de sécurité que les systèmes informatiques. Au lieu de cela, ils reposent beaucoup plus sur la sécurité physique et l’isolement. Ces systèmes sont construits pour rester actifs 24h/24 et 7j/7, de sorte que de nombreuses protections standard comme le chiffrement ou l’authentification forte ne sont pas toujours en place. Dans certains cas, le trafic n’est pas chiffré par souci de simplicité et les mots de passe par défaut sont toujours utilisés », souligne Aras Nazarovas.

C’est cette dépendance à l’isolement physique qui devient une vulnérabilité critique lorsqu’elle n’est pas respectée. « C’est pourquoi l’isolement est si important. Les systèmes OT sont censés être « air-gapped » (isolés physiquement de tout réseau extérieur) et maintenus complètement séparés des réseaux informatiques et d’Internet. Dans les attaques iraniennes contre les infrastructures critiques américaines, cette règle de base n’a pas été respectée », conclut le chercheur.

Une menace persistante dans un contexte tendu

L’avis des agences (AA26-097A) précise que cette campagne s’inscrit dans une escalade récente des hostilités cybernétiques, probablement en réponse aux tensions géopolitiques entre l’Iran, les États-Unis et Israël. Cette activité fait écho à une précédente vague d’attaques en novembre 2023, menée par le groupe « CyberAv3ngers », également affilié au Corps des Gardiens de la révolution islamique (IRGC), qui avait ciblé des automates similaires dans le secteur de l’eau.

Bien que les automates Rockwell soient explicitement mentionnés, les autorités avertissent que les pirates ciblent des ports réseaux associés à d’autres fabricants, comme Siemens, suggérant que le périmètre de la menace pourrait être plus large.

Recommandations urgentes des autorités

Face à l’urgence de la situation, les agences fédérales ont émis une série de mesures de mitigation à appliquer immédiatement. La première et la plus cruciale est d’isoler les automates et systèmes de contrôle de tout accès direct depuis Internet, en les plaçant derrière des pare-feu et des passerelles sécurisées.

Il est également demandé aux organisations de surveiller activement le trafic sur les ports réseaux typiquement utilisés par ces équipements industriels (notamment 44818, 2222, 102, 502) à la recherche de toute connexion suspecte, en particulier celles provenant d’hébergeurs étrangers. Pour les équipements Rockwell Automation spécifiquement, il est conseillé d’utiliser le commutateur physique pour placer l’appareil en mode « exécution », ce qui limite les possibilités de modification à distance.

Les organisations qui suspectent une compromission sont invitées à contacter les autorités via les canaux dédiés, comme le centre opérationnel de la CISA.

Des informations complémentaires sur les menaces iraniennes sont disponibles sur les portails du FBI et de la CISA  https://www.cisa.gov/iran-threat-overview-and-advisories