Le FBI, la CISA, la NSA, l'EPA, le département de l'Énergie et le Cyber Command américain ont publié un avis conjoint qui ne laisse pas beaucoup de place au doute. Des hackers affiliés à l'Iran ciblent activement les automates programmables connectés à internet sur le sol américain.

Plus précisément, ce sont les contrôleurs Rockwell Automation / Allen-Bradley qui sont visés, et si vous ne comprenez pas de quoi on parle, ce sont en fait les petits ordinateurs industriels qui pilotent des vannes, des pompes ou des turbines dans les usines.

Le groupe en question, déjà connu sous le nom de CyberAv3ngers et lié au Corps des Gardiens de la révolution islamique, scanne le web à la recherche de PLC exposés sur plusieurs ports (44818, 2222, 102, 502).

Une fois en place, les attaquants peuvent manipuler les interfaces homme-machine et les écrans SCADA, modifier des fichiers de projet et, dans certains cas, tenter de déployer des malwares de type "wiper" pour effacer les données des systèmes compromis.

Eau, énergie, collectivités locales, la totale

Les secteurs touchés sont ceux qu'on redoute le plus dans ce genre de scénario : stations de traitement d'eau, installations énergétiques (centrales, raffineries), et même des collectivités locales. Plusieurs victimes ont subi des arrêts de production forcés, avec un basculement en mode manuel et des pertes financières que le FBI n'a pas voulu chiffrer publiquement.

Ce n'est pas la première fois que ce groupe fait parler de lui. Fin 2023, CyberAv3ngers avait déjà piraté des automates Unitronics dans une station d'eau en Pennsylvanie, tout simplement en exploitant des mots de passe par défaut.

Dès 2024, ils sont passés à la vitesse supérieure avec du malware sur mesure contre des systèmes d'eau et de carburant. La campagne actuelle, qui est active depuis mars 2026, marque un nouveau cran dans l'escalade.

Même s'il baisse un peu en intensité depuis quelques heures, le conflit entre les États-Unis, Israël et l'Iran a débuté le 28 février 2026 avec des frappes aériennes. Depuis, les opérations cyber iraniennes se sont accélérées, aussi bien contre des cibles américaines qu'israéliennes.

"Les acteurs iraniens bougent plus vite, plus largement, et ciblent désormais à la fois les infrastructures IT et OT", a résumé Sergey Shykevich, chercheur chez Check Point.

Côté recommandations, les agences américaines demandent aux opérateurs de déconnecter immédiatement tous les équipements industriels d'internet, d'appliquer les correctifs Rockwell, d'activer l'authentification multifacteur et de surveiller le trafic entrant sur les ports concernés. Le b.a.-ba donc, mais visiblement pas encore appliqué partout.

En tous cas, six agences fédérales qui publient un avis commun, ça donne une idée de la gravité du truc. Le fait que des hackers puissent encore trouver des automates industriels directement accessibles depuis internet en 2026, c'est quand même assez idiot. Surtout quand ils contrôlent des stations d'eau ou des centrales énergétiques.

Source : CNN

Le groupe de hackers Handala, lié au gouvernement iranien, affirme avoir piraté le compte Gmail personnel de Kash Patel, le directeur du FBI. Des photos privées et plus de 300 emails ont été publiés en ligne.

Le FBI confirme l'incident mais assure qu'aucune donnée gouvernementale n'a été compromise. Une prime de 10 millions de dollars est offerte pour identifier les responsables.

Ce qui a été volé

Le groupe Handala a mis en ligne des photos de Kash Patel posant avec des cigares, au volant d'un cabriolet ancien ou encore à côté de voitures immatriculées à Cuba. Le groupe a aussi publié un échantillon de plus de 300 emails datés de 2010 à 2019, un mélange de correspondances personnelles et professionnelles.

Tous ces messages sont antérieurs à l'arrivée de Patel au sein de l'administration Trump. Le FBI a réagi rapidement en précisant que les données étaient anciennes et qu'aucune information gouvernementale n'était concernée. Le bureau fédéral propose d'ailleurs jusqu'à 10 millions de dollars de récompense pour toute information sur les hackers de Handala.

Handala ?

Le groupe se présente comme des hackers pro-palestiniens, mais les chercheurs occidentaux et le département de la Justice américain le considèrent comme une façade du renseignement iranien, rattachée au ministère du Renseignement et de la Sécurité.

Ces dernières semaines, Handala a aussi revendiqué le piratage de Stryker, un fabricant américain de matériel médical, et la publication des données personnelles de dizaines d'employés de Lockheed Martin basés au Moyen-Orient.

Le piratage du compte de Patel serait une riposte directe à la saisie par le FBI de plusieurs domaines web du groupe après l'attaque contre Stryker.

Un contexte géopolitique tendu

Cette cyberattaque arrive dans un climat de tensions extrêmes entre les États-Unis, Israël et l'Iran. L'objectif, selon les analystes, est d'embarrasser les responsables américains et de leur donner le sentiment d'être vulnérables.

Côté technique, le piratage ne concerne que le Gmail personnel de Patel, pas ses communications officielles. Google n'a pas répondu aux demandes de commentaires. Les métadonnées des fichiers volés indiquent que le piratage aurait eu lieu avant le début des frappes américano-israéliennes contre l'Iran.

Quoi qu'il en soit, le directeur du FBI qui se fait pirater sa boîte mail perso, ça fait un peu désordre. Après, il faut reconnaître que ce sont des emails vieux de plus de six ans et des photos de vacances, pas des secrets d'État de zinzins.

Handala cherche visiblement à faire du bruit plus qu'à obtenir des renseignements. Mais bon, quand on dirige le FBI, on s'attend quand même à ce que le compte Gmail soit un peu mieux verrouillé, non ?

Source : CNBC