Des pirates informatiques liés à l'Iran ont réussi à cibler et à perturber plusieurs infrastructures critiques américaines dans les secteurs du pétrole, du gaz et de l'eau, selon un avis fédéral

Des pirates informatiques liés à l'Iran ont réussi à cibler et à perturber plusieurs infrastructures critiques américaines dans les secteurs du pétrole, du gaz et de l'eau, selon un avis fédéral

Selon un avis fédéral publié le 7 avril et trois sources proches de l'enquête, des pirates informatiques liés à l'Iran ont réussi, ces dernières semaines, à cibler et à perturber plusieurs sites américains dans les secteurs du pétrole, du gaz et de l'eau. Ces piratages ont entraîné l'arrêt de certains processus industriels sur les sites, les obligeant à fonctionner manuellement, ont indiqué les sources. Ces temps d'arrêt ont causé des pertes financières à certaines des victimes, selon l'avis fédéral. Cette campagne de piratage marque une escalade des cyberattaques lancées par Téhéran depuis le début de la guerre américano-israélienne contre l'Iran, car elle a mis à l'épreuve les systèmes de sécurité des installations industrielles américaines qui protègent la vie humaine.

La guerre d'Iran de 2026 est un conflit qui débute le 28 février 2026 par une opération militaire conjointe américano-israélienne consistant en des frappes aériennes ciblées sur l'Iran. Les premières frappes sont ciblées en Iran sur Téhéran, Ispahan, Qom, Karadj et Kermanchah. La riposte iranienne se manifeste par le lancement de centaines de drones et de missiles balistiques non seulement vers Israël, mais aussi vers les bases militaires américaines situées en Jordanie, au Koweït, à Bahreïn, au Qatar, en Irak, en Arabie saoudite et aux Émirats arabes unis. Téhéran cible également des infrastructures civiles, notamment les aéroports internationaux du Koweït et des Émirats. La fermeture de facto du détroit d'Ormuz par l'Iran provoque une perturbation immédiate des livraisons mondiales de gaz et de pétrole.

Début avril, les pirates informatiques iraniens ont intensifié leurs cyberattaques contre Israël et les États-Unis, menant des opérations destinées à semer la peur, à recueillir des renseignements et à cibler des infrastructures sensibles. Selon le Financial Times, lors des récentes attaques de missiles, des milliers de citoyens israéliens ont reçu de faux SMS d'urgence les incitant à télécharger une application d'alerte factice susceptible d'exfiltrer des données personnelles. D'autres messages laissaient planer la menace d'une destruction imminente. Selon les experts, les cyberopérations de Téhéran s'appuient actuellement sur plusieurs niveaux, allant des pirates informatiques contrôlés par l'État à un réseau de hacktivistes bénévoles. Cette intensification marque une nouvelle phase dans le conflit de longue date qui oppose l'Iran, Israël et les États-Unis.

Selon un avis fédéral publié le 7 avril et trois sources proches de l'enquête, des pirates informatiques liés à l'Iran ont réussi, ces dernières semaines, à cibler et à perturber plusieurs sites américains dans les secteurs du pétrole, du gaz et de l'eau. Cette campagne de piratage marque une escalade des cyberattaques lancées par Téhéran depuis le début de la guerre américano-israélienne contre l'Iran, car elle a mis à l'épreuve les systèmes de sécurité des installations industrielles américaines qui protègent la vie humaine.

Ces piratages ont entraîné l'arrêt de certains processus industriels sur les sites, les obligeant à fonctionner manuellement, ont indiqué les sources. Ces temps d'arrêt ont causé des pertes financières à certaines des victimes, selon l'avis fédéral. Dans certains cas, les pirates ont tenté d’utiliser des logiciels malveillants destructeurs, ou « wiper », pour effacer les données des entreprises victimes, mais on ignore s’ils y sont parvenus, ont déclaré deux de ces sources.


Le 7 avril, le FBI, l’agence de cybersécurité du département de la Sécurité intérieure et d’autres organismes ont déclaré qu’ils « mettaient en garde de toute urgence » les entreprises américaines gérant des infrastructures critiques contre la campagne de piratage en cours, qui, selon les responsables, visait à provoquer « des perturbations aux États-Unis ». Plus tard dans la journée, le président Donald Trump a déclaré avoir accepté un cessez-le-feu de deux semaines avec l’Iran, moins de deux heures avant l’échéance de 20 h qu’il s’était fixée pour détruire une « civilisation entière ». Il avait également menacé auparavant de bombarder des centrales électriques en Iran.

Si les missiles iraniens ne peuvent pas encore atteindre le territoire américain, la campagne de piratage offre à l’Iran l’occasion de riposter de manière asymétrique en frappant les infrastructures critiques américaines dans le cyberespace. « Le gouvernement et les experts mettent en garde depuis des années contre les systèmes connectés à Internet et leur vulnérabilité », a déclaré une source proche de l’enquête fédérale sur ces piratages. « Les entreprises qui ont prêté attention et qui ont pris la situation au sérieux ont déjà supprimé ces systèmes et suivi les recommandations. »

Les pirates informatiques liés à l’Iran ciblent de manière opportuniste les automates programmables connectés à Internet, ces dispositifs qui permettent aux machines de communiquer dans les usines industrielles du monde entier. Cela « ouvre la voie non seulement à des perturbations immédiates, mais aussi à une modification potentielle des paramètres de fonctionnement qui pourrait avoir un impact sur les opérations physiques », a déclaré Joe Slowik, directeur de la stratégie d’alerte en matière de cybersécurité chez Dataminr et expert en cybersécurité industrielle. « Ce dernier point pourrait entraîner des répercussions physiques et des problèmes de sécurité, ce qui constitue un problème grave et représente une extension notable des capacités et des intentions de l’adversaire » par rapport aux activités précédentes associées à certains pirates informatiques iraniens, a déclaré Slowik.

Alors que les États-Unis et Israël bombardent sans relâche les installations du gouvernement iranien depuis des semaines, l’Iran a réussi à utiliser son personnel informatique pour mener des cyberattaques allant de l’embarrassant au préoccupant. Le mois dernier, des pirates informatiques liés à Téhéran ont divulgué des e-mails volés sur le compte privé du directeur du FBI, Kash Patel. Avant cela, ils avaient perturbé les activités d’un grand fabricant américain de dispositifs médicaux.

Ces cyberactivités comportent souvent une dimension psychologique. Les pirates iraniens se sont vantés en ligne des attaques contre Patel et le fabricant de dispositifs médicaux, tout en exagérant leur impact. « L'Iran maintient son intention persistante de cibler les États-Unis, leurs alliés et leurs partenaires par des opérations cybernétiques, malgré les défis auxquels il a été confronté récemment lors de la guerre des 12 jours en 2025, au cours de laquelle Téhéran a eu du mal à se défendre contre les cyberattaques israéliennes et à riposter de la même manière », ont déclaré les agences de renseignement américaines dans leur évaluation annuelle des menaces mondiales publiée en mars.

En mars, un autre rapport a révélé qu'un malware infecte des infrastructures open source et efface les données des ordinateurs situés en Iran. Selon le rapport, le groupe de pirates informatiques TeamPCP cible les clusters Kubernetes à l'aide d'un script malveillant qui efface toutes les machines dès qu'il détecte des systèmes configurés pour l'Iran. Cet acteur malveillant est à l'origine de la récente attaque par la chaîne d'approvisionnement visant le scanner de vulnérabilités Trivy, ainsi que d'une campagne basée sur NPM baptisée « CanisterWorm », qui a débuté le 20 mars.

Voici un extrait du communiqué de la CISA :

Des cybercriminels liés à l'Iran exploitent des automates programmables dans des infrastructures critiques à travers les États-Unis

Le Bureau fédéral d'enquête (FBI), l'Agence pour la cybersécurité et la sécurité des infrastructures (CISA), l'Agence nationale de sécurité (NSA), l'Agence de protection de l'environnement (EPA), le Département de l'énergie (DOE) et le Cyber Command des États-Unis – Cyber National Mission Force (CNMF), ci-après dénommés les « agences auteurs », alertent de toute urgence les organisations américaines sur l'exploitation cybernétique en cours de dispositifs de technologie opérationnelle (OT) connectés à Internet, y compris les automates programmables (PLC) fabriqués par Rockwell Automation/Allen-Bradley, dans de multiples secteurs d'infrastructures critiques aux États-Unis. À la suite de cette activité, des organisations issues de plusieurs secteurs d’infrastructures critiques aux États-Unis ont subi des perturbations dues à des interactions malveillantes avec les fichiers de projet¹ et à la manipulation des données affichées sur les écrans d’interface homme-machine (IHM) et de contrôle de supervision et d’acquisition de données (SCADA). Dans quelques cas, cette activité a entraîné des perturbations opérationnelles et des pertes financières.

En raison de l'utilisation généralisée de ces API et du risque que d'autres appareils OT de différentes marques soient également ciblés au sein des infrastructures critiques, les agences à l'origine de cet avis recommandent aux organisations américaines d'examiner de toute urgence les tactiques, techniques et procédures (TTP) ainsi que les indicateurs de compromission (IOC) présentés dans cet avis afin de détecter toute activité actuelle ou passée sur leurs réseaux, et d'appliquer les recommandations énumérées dans la section « Mesures d'atténuation » afin de réduire le risque de compromission.

Les agences à l'origine de cet avis estiment qu'un groupe d'acteurs de menaces persistantes avancées (APT) affiliés à l'Iran mène cette activité dans le but de provoquer des perturbations aux États-Unis. Le groupe a ciblé des appareils couvrant plusieurs secteurs d'infrastructures critiques américaines, notamment les services et installations gouvernementaux (y compris les municipalités locales), les réseaux d'eau et d'assainissement (WWS) et le secteur de l'énergie. Les agences à l'origine de ce rapport ont précédemment signalé une activité similaire ciblant des automates programmables (PLC) par CyberAv3ngers (alias Shahid Kaveh Group), un acteur de cybermenaces affilié au Commandement cyberélectronique (CEC) du Corps des gardiens de la révolution islamique (CGRI) iranien.

Si les propriétaires et les opérateurs découvrent un dispositif accessible via Internet affecté dans leur environnement, des mesures techniques supplémentaires peuvent s’avérer nécessaires pour évaluer le risque de compromission. Veuillez contacter les agences à l’origine de ce communiqué et les fournisseurs concernés via les canaux d’assistance existants mis à la disposition des clients et des intégrateurs (voir les coordonnées) afin de bénéficier d’une assistance en matière de support, d’atténuation et d’enquête, et de mettre en œuvre vos plans de réponse aux incidents cybernétiques.

En plus de contacter les organismes auteurs, les organisations disposant de PLC fabriqués par Rockwell Automation/Allen-Bradley doivent consulter les recommandations précédemment publiées par le fabricant afin de renforcer la sécurité de leurs déploiements de technologies opérationnelles : PN1550 | CVE-2021-22681 : Vulnérabilité de contournement de l'authentification découverte dans les contrôleurs Logix, publiée en 2021, et SD1771 | Rockwell Automation réitère ses recommandations aux clients de déconnecter les appareils d'Internet et de renforcer la sécurité des automates programmables (PLC) pour se protéger contre les cybermenaces, publiée en 2026. Contactez l'équipe PSIRT (Product Security Incident Response Team) de Rockwell Automation à l'adresse PSIRT@rockwellautomation.com pour toute question concernant ces recommandations ou pour signaler des incidents de cybersécurité liés aux produits Rockwell Automation.

Source : Communiqué de la CISA

Et vous ?

Pensez-vous que ce rapport est crédible ou pertinent ?
Quel est votre avis sur le sujet ?

Voir aussi :

Des pirates informatiques liés à l'Iran ont volé 100 Go de courriels des plus proches collaborateurs de Donald Trump et menacent de les divulguer après la dernière menace de ce dernier contre l'Iran

L'Iran menace d'attaquer les géants américains de la tech tels que Google, Apple et Microsoft à partir du 1er avril. Téhéran leur reproche d'avoir mis leurs outils d'IA au service de la guerre en cours

L'Iran menace d'endommager les câbles Internet sous-marins en mer Rouge, ce qui aurait un impact considérable sur la vitesse d'Internet dans de nombreux pays à travers le monde