Le FBI, la CISA, la NSA, l'EPA, le département de l'Énergie et le Cyber Command américain ont publié un avis conjoint qui ne laisse pas beaucoup de place au doute. Des hackers affiliés à l'Iran ciblent activement les automates programmables connectés à internet sur le sol américain.
Plus précisément, ce sont les contrôleurs Rockwell Automation / Allen-Bradley qui sont visés, et si vous ne comprenez pas de quoi on parle, ce sont en fait les petits ordinateurs industriels qui pilotent des vannes, des pompes ou des turbines dans les usines.
Le groupe en question, déjà connu sous le nom de CyberAv3ngers et lié au Corps des Gardiens de la révolution islamique, scanne le web à la recherche de PLC exposés sur plusieurs ports (44818, 2222, 102, 502).
Une fois en place, les attaquants peuvent manipuler les interfaces homme-machine et les écrans SCADA, modifier des fichiers de projet et, dans certains cas, tenter de déployer des malwares de type "wiper" pour effacer les données des systèmes compromis.
Les secteurs touchés sont ceux qu'on redoute le plus dans ce genre de scénario : stations de traitement d'eau, installations énergétiques (centrales, raffineries), et même des collectivités locales. Plusieurs victimes ont subi des arrêts de production forcés, avec un basculement en mode manuel et des pertes financières que le FBI n'a pas voulu chiffrer publiquement.
Ce n'est pas la première fois que ce groupe fait parler de lui. Fin 2023, CyberAv3ngers avait déjà piraté des automates Unitronics dans une station d'eau en Pennsylvanie, tout simplement en exploitant des mots de passe par défaut.
Dès 2024, ils sont passés à la vitesse supérieure avec du malware sur mesure contre des systèmes d'eau et de carburant. La campagne actuelle, qui est active depuis mars 2026, marque un nouveau cran dans l'escalade.
Même s'il baisse un peu en intensité depuis quelques heures, le conflit entre les États-Unis, Israël et l'Iran a débuté le 28 février 2026 avec des frappes aériennes. Depuis, les opérations cyber iraniennes se sont accélérées, aussi bien contre des cibles américaines qu'israéliennes.
"Les acteurs iraniens bougent plus vite, plus largement, et ciblent désormais à la fois les infrastructures IT et OT", a résumé Sergey Shykevich, chercheur chez Check Point.
Côté recommandations, les agences américaines demandent aux opérateurs de déconnecter immédiatement tous les équipements industriels d'internet, d'appliquer les correctifs Rockwell, d'activer l'authentification multifacteur et de surveiller le trafic entrant sur les ports concernés. Le b.a.-ba donc, mais visiblement pas encore appliqué partout.
En tous cas, six agences fédérales qui publient un avis commun, ça donne une idée de la gravité du truc. Le fait que des hackers puissent encore trouver des automates industriels directement accessibles depuis internet en 2026, c'est quand même assez idiot. Surtout quand ils contrôlent des stations d'eau ou des centrales énergétiques.
Source : CNN
Dans le jargon de la cybersécurité, le dwell time (ou temps de présence) est une statistique scrutée à la loupe. Elle représente le temps qui s'écoule lors d'une intrusion informatique. Mais contrairement à ce que l'on pourrait penser de prime abord, la façon dont ce délai est calculé cache une subtilité importante.
La Pologne vient d'identifier sept adolescents soupçonnés de vendre des outils d'attaque DDoS en ligne. Le plus jeune avait 12 ans au moment des faits. Leurs cibles : des sites d'enchères, des hébergeurs et des plateformes de réservation. Tous passent devant le tribunal pour mineurs.
L'enquête a démarré en 2025 quand le Bureau central de lutte contre la cybercriminalité polonais a identifié un adolescent de 14 ans comme administrateur présumé des outils vendus par le groupe. Le fil a été tiré et six autres mineurs ont été retrouvés dans quatre régions du pays.
Lors des perquisitions à leurs domiciles, les enquêteurs ont saisi des smartphones, des ordinateurs portables, des disques de stockage, un registre comptable et de la documentation manuscrite.
Les suspects se connaissaient, restaient en contact régulier et coopéraient pour administrer et déployer les outils. Le tout dans un but purement lucratif vous l’imaginez bien.
Les outils vendus par le groupe ont servi à attaquer des sites plutôt fréquentés : portails d'enchères et de ventes en ligne, domaines liés à l'informatique, services d'hébergement web et plateformes de réservation d'hébergement. On parle de DDoS-for-hire, un modèle où n'importe qui peut acheter une attaque par déni de service contre la cible de son choix.
Côté justice, la loi polonaise prévoit qu'un enfant de moins de 13 ans ne peut pas être poursuivi pénalement. Pour les 13-17 ans, le système privilégie la rééducation plutôt que la sanction. Les dossiers des sept suspects ont été transmis aux tribunaux pour mineurs, qui décideront des suites.
Pas de prison donc, mais une prise en charge adaptée. Ce dossier n'est d'ailleurs pas le seul. En février, la Pologne avait déjà arrêté un jeune de 20 ans qui opérait un service de DDoS depuis sa chambre, dans le cadre de l'opération internationale PowerOFF coordonnée par le FBI et Europol.
Cette histoire fait sourire quand on imagine des hackers de 12 ans devant leurs ordis, mais le profil des suspects interpelle quand même. Tout ceci laisse songeur sur la facilité d'accès à ce type de ressources en ligne. La Pologne fait partie des pays européens les plus actifs sur la cybercriminalité ces derniers mois, avec plusieurs coups de filet successifs.
L'approche éducative plutôt que répressive pour les mineurs a du sens, mais elle pose une vraie question : est-ce que ça suffit à dissuader des gamins qui généraient déjà des revenus conséquents avec leurs plateformes ?
Source : Helpnetsecurity
Connexion