Automates industriels perturbés, services critiques touchés après une cyberattaque iranienne aux États-Unis

Des acteurs cyber affiliés à l’Iran ciblent des équipements industriels directement accessibles depuis Internet aux États-Unis, avec des impacts concrets sur des organisations de secteurs critiques. Les autorités fédérales décrivent des attaques contre des PLC utilisés comme cerveau d’installations, avec des effets allant de la baisse de fonctionnalité à la perturbation d’opérations, et parfois des pertes financières. Les manipulations observées portent aussi sur l’affichage de données, un point clé dans les environnements où les opérateurs se fient aux écrans pour piloter les processus.

L’alerte est portée par un ensemble d’agences américaines, dont le FBI et la CISA, qui évoquent une intensification récente des campagnes iraniennes contre des organisations américaines, dans un contexte de tensions et d’hostilités impliquant l’Iran, les États-Unis et Israël. Le message est direct, si un automate est exposé sur le Web, il devient une cible facile, et le risque ne se limite pas à la fuite de données, il touche la continuité de service.

Le FBI et la CISA décrivent des perturbations via HMI et SCADA

Les autorités expliquent que les attaques ne se limitent pas à entrer dans un réseau, elles visent des fonctions opérationnelles. Les intrusions s’appuient sur des interactions malveillantes avec des fichiers de projet et sur la manipulation de données affichées sur des interfaces de supervision. Dans le langage industriel, cela vise les écrans HMI et les plateformes SCADA, là où les opérateurs visualisent niveaux, pressions, états de vannes ou alarmes.

Le point sensible, c’est l’écart entre ce que montre l’écran et ce que fait le terrain. Une donnée altérée sur un synoptique peut pousser un opérateur à prendre une mauvaise décision, ou à perdre du temps à diagnostiquer un faux incident. Les agences évoquent des cas de manipulation des données d’affichage et de diminution de fonctionnalité des PLC, ce qui suggère des effets visibles, pas seulement des tentatives bloquées.

Les secteurs mentionnés couvrent des services publics et des activités où l’interruption coûte vite cher. Les avis fédéraux citent des cibles dans les services gouvernementaux et les installations publiques, les systèmes d’eau et d’eaux usées et le secteur de l’énergie. Dans une municipalité, une perturbation peut se traduire par des procédures manuelles, des astreintes prolongées, et des retards, même si l’installation évite l’arrêt total.

Un responsable sécurité d’une collectivité locale, interrogé sous couvert d’anonymat, résume le problème de façon très concrète, le danger, ce n’est pas seulement l’arrêt, c’est la confiance dans l’instrumentation. Quand tu ne sais plus si l’écran dit vrai, tu reviens au téléphone, aux rondes, aux vérifications physiques, et tu perds des heures. Cette fragilité de la confiance opérationnelle explique pourquoi la manipulation d’affichage SCADA est traitée comme un risque majeur.

Rockwell Automation et Allen-Bradley cités parmi les équipements visés

Les avis officiels pointent en priorité des automates de Rockwell Automation, notamment la gamme Allen-Bradley, très répandue dans l’industrie américaine. Les agences précisent aussi que d’autres fournisseurs peuvent être concernés, ce qui rappelle une réalité, l’attaquant cherche souvent la cible la plus accessible, pas une marque pour des raisons esthétiques. Quand un équipement est exposé sur Internet, la marque devient un détail secondaire.

Le fait que ces automates soient largement déployés augmente l’enjeu. Dans beaucoup de sites, un même type de PLC pilote des fonctions répétitives, pompage, chloration, convoyage, régulation, ou sécurité process. Une perturbation sur un automate peut rester locale, mais une campagne qui vise des appareils similaires dans plusieurs États peut produire un effet agrégé, multiplication des incidents, surcharge des équipes, hausse des coûts de prestation et de rétablissement.

Les autorités décrivent des perturbations obtenues par des interactions malveillantes avec les fichiers de projet. Dans un monde OT, un fichier de projet, c’est la logique de contrôle, les paramètres, les séquences. Le toucher peut provoquer des comportements inattendus ou, plus fréquemment, forcer un retour en mode dégradé. Pour une équipe d’exploitation, la priorité devient de s’assurer que le programme chargé est le bon, et que les modifications ne sont pas passées en douce.

Sur le terrain, la contrainte est connue, les environnements industriels vivent avec des cycles longs. Un technicien automatisme peut garder un matériel en place dix ou quinze ans, parfois plus, parce qu’il fonctionne et que le remplacement coûte cher. Mais cette longévité se heurte aux exigences de sécurité. C’est là que la critique s’impose, trop d’organisations ont continué à traiter l’OT comme une boîte noire intouchable, alors que l’exposition Internet transforme un automate en point d’entrée potentiel.

Les secteurs eau, énergie et collectivités locales touchés par des interruptions

Les agences fédérales citent plusieurs secteurs de l’infrastructure critique américaine, dont les Water and Wastewater Systems, l’énergie et les services gouvernementaux, y compris des municipalités. Ce trio n’est pas anodin. L’eau et l’assainissement reposent sur des installations distribuées, stations de pompage, réservoirs, postes de relèvement, souvent gérés à distance. L’énergie, elle, combine des contraintes de sûreté et de continuité.

Dans ces environnements, l’effet d’une attaque ne se mesure pas seulement en données volées. Les autorités parlent d’disruptions opérationnelles et de pertes financières. Une interruption, même courte, peut déclencher des interventions d’urgence, des achats de pièces, des audits, des prestations externes, et parfois des pénalités contractuelles. Pour une collectivité, ce sont des dépenses imprévues et un risque d’image, parce que l’usager voit immédiatement les conséquences.

Le scénario le plus redouté reste la confusion. Si un écran HMI affiche un niveau de cuve erroné, l’opérateur peut ouvrir ou fermer une vanne au mauvais moment. Même sans catastrophe, l’organisation doit repasser en contrôle manuel, sécuriser le process, et vérifier les mesures par d’autres canaux. Dans l’eau, cela peut signifier des rondes supplémentaires, des tests, et une surveillance accrue de la qualité, avec une pression forte sur les équipes.

Un ingénieur exploitation, Marc, qui accompagne des régies en modernisation, résume avec une formule brutale, tu peux avoir le meilleur traitement, si ton SCADA ment, tu pilotes à l’aveugle. Sa nuance est utile, toutes les perturbations ne se traduisent pas par une coupure d’eau ou un blackout, mais elles créent une dette opérationnelle, procédures exceptionnelles, retards de maintenance, et fatigue humaine, un facteur souvent sous-estimé dans les incidents OT.

CyberAv3ngers et l’affaire Unitronics: au moins 75 appareils compromis

Les autorités rappellent que ce type de ciblage n’est pas nouveau. Fin 2023, une entité associée à l’Iran, connue sous le nom CyberAv3ngers et liée à d’autres appellations, a été reliée à l’exploitation active d’automates Unitronics. Dans ce cas, l’objectif était de compromettre des PLC utilisés dans des infrastructures, avec une mise en avant publique de la campagne et une dimension de pression politique.

Un épisode a marqué les esprits, l’attaque visant la Municipal Water Authority d’Aliquippa, en Pennsylvanie. Les autorités indiquent qu’au moins 75 appareils ont été compromis dans cette vague. Ce chiffre sert d’indicateur, les attaquants ne se contentent pas d’un test isolé, ils cherchent l’échelle. Quand une méthode fonctionne sur un modèle d’automate, elle peut être répétée sur de nombreux sites, surtout si les équipements sont exposés.

Dans les cas Unitronics, les recommandations publiques ont insisté sur des facteurs basiques, mots de passe par défaut ou absence de mot de passe, ports par défaut, et exposition Internet. Ce n’est pas glamour, mais c’est souvent la réalité. L’OT a longtemps été conçu pour fonctionner dans des réseaux séparés, et l’ouverture vers l’extérieur, parfois pour de la maintenance, a créé des raccourcis. Une fois ces raccourcis en place, ils sont difficiles à retirer sans repenser l’architecture.

La comparaison entre Unitronics et Rockwell est instructive, l’attaquant s’adapte au parc installé. Ce qui change, c’est la surface d’attaque et la vitesse de propagation. La nuance, c’est qu’une attribution Iran-affilié ne dit pas tout des opérateurs réels ni de leurs chaînes de sous-traitance. Mais les autorités américaines estiment que l’intention est disruptive, et cette intention suffit à justifier une posture défensive plus stricte sur les PLC exposés.

Les mesures urgentes: MFA, pare-feu, proxy et fin des PLC exposés au Web

Les recommandations officielles sont centrées sur une idée simple, un PLC ne doit pas être accessible directement depuis Internet. La priorité est de supprimer l’exposition, puis de contrôler strictement les accès. Les agences conseillent d’ériger un pare-feu ou un proxy réseau devant l’automate, pour filtrer, journaliser et limiter les flux. Cela revient à remettre une porte et un gardien là où il n’y avait qu’un couloir ouvert.

Deuxième axe, empêcher la modification à distance. Les autorités évoquent des mécanismes physiques ou logiciels, comme des commutateurs, pour bloquer les changements non autorisés. Dans un environnement industriel, ce type de verrou peut être décisif, parce qu’il transforme une attaque en incident détectable, plutôt qu’en altération silencieuse. C’est aussi une discipline, qui peut ralentir certaines opérations, mais qui réduit le risque d’une modification furtive de projet.

Troisième axe, renforcer l’authentification. La mise en place d’une MFA est citée comme mesure de base, tout comme la désactivation des fonctions d’authentification inutilisées et la mise à jour des équipements. Sur le papier, c’est évident, dans la vraie vie, c’est souvent un chantier, parce que les automates et les environnements SCADA ont des contraintes de compatibilité, de disponibilité, et des fenêtres de maintenance limitées.

Enfin, la surveillance. Les agences demandent de monitorer les trafics inhabituels et de rechercher des indicateurs de compromission actuels ou passés. Marc, côté exploitation, le formule sans détour, tu ne peux pas protéger ce que tu ne vois pas, et beaucoup de sites OT n’ont pas de logs exploitables. La critique est là, l’OT a été laissé à l’écart des pratiques IT modernes. De ce fait, la défense passe par des mesures pragmatiques, segmentation, contrôle d’accès, et visibilité réseau, avant même de parler d’outils sophistiqués.