### Les Agences Fédérales Tirent la Sonnette d'Alarme sur les Compromissions des Systèmes ATG Un avis conjoint de la **Cybersecurity and Infrastructure Security Agency (CISA)**, du **Federal Bureau of Investigation (FBI)**, de la **National Security Agency (NSA)**, du **Department of Energy (DOE)**, de l'**Environmental Protection Agency (EPA)**, de la **Transportation Security Administration (TSA)**, du **Department of Transportation (DOT)** et de l'**U.S. Department of Agriculture (USDA)** met en garde contre des menaces cybernétiques actives ciblant les systèmes de **Jaugeage Automatique de Réservoirs (ATG)**. Ces systèmes sont essentiels pour surveiller les paramètres des réservoirs de stockage tels que les niveaux de carburant, la température et la détection de fuites dans les secteurs de l'**Énergie**, de la **Chimie**, de l'**Alimentation et de l'Agriculture**, et des **Systèmes de Transport**. L'avis souligne que les acteurs de la menace cybernétique compromettent activement les systèmes ATG exposés sur Internet et les modifient par l'exécution de commandes. Bien qu'aucun État-nation ou groupe d'acteurs de menace spécifique n'ait été attribué, les tactiques, techniques et procédures (TTPs) observées indiquent une menace sophistiquée et persistante. ### Comprendre le Paysage des Menaces Les attaquants exploitent diverses vulnérabilités pour obtenir un accès et un contrôle non autorisés sur les systèmes ATG : * **Contournement d'authentification et identifiants codés en dur** : Les acteurs de la menace contournent les mécanismes d'authentification et exploitent les identifiants par défaut ou codés en dur pour accéder aux interfaces de gestion des appareils. * **Exécution de commandes système et injection SQL** : Ces techniques permettent aux attaquants d'exécuter du code arbitraire et de manipuler les bases de données sous-jacentes, leur conférant un contrôle étendu. * **Escalade de privilèges** : Une fois l'accès initial obtenu, les acteurs de la menace escaladent les privilèges pour obtenir un contrôle administratif complet sur l'application de l'appareil et le système d'exploitation. ### Impacts Opérationnels et de Sécurité Potentiels Une compromission réussie d'un système ATG peut avoir des conséquences graves, imitant un accès physique légitime à la console du système. Les acteurs de la menace pourraient : * **Modifier les attributs du système** : Cela inclut les paramètres réseau, les identifiants de produit, les volumes de réservoirs et les commandes de pompe, entraînant un chaos opérationnel. * **Aggraver les dysfonctionnements opérationnels** : Des composants fonctionnant incorrectement pourraient créer une condition de "déni de vue" pour les niveaux de remplissage des réservoirs, causant potentiellement des dommages permanents au système de réservoir. * **Désactiver les alertes système** : La suppression des alertes critiques réduit la capacité d'un opérateur à détecter et à atténuer les problèmes, augmentant considérablement le risque de dangers environnementaux ou physiques tels que des fuites ou des défaillances de relais. ### Recommandations Urgentes de Mitigation Les organisations auteurs exhortent les propriétaires et opérateurs de systèmes ATG à mettre en œuvre immédiatement les mesures de sécurité suivantes : 1. **Éliminer l'exposition à l'Internet public** : Crucialement, **n'exposez pas les ports série des systèmes ATG** (par exemple, les ports TCP par défaut 8001, 9001 ou 10001) ou d'autres interfaces web applicables directement à Internet. Si l'accès à distance est essentiel, restreignez-le à l'aide d'un pare-feu, d'une liste de contrôle d'accès (ACL) ou d'un réseau privé virtuel (VPN). 2. **Appliquer la sécurité des identifiants** : Changez immédiatement tous les mots de passe par défaut et implémentez des codes de sécurité et des identifiants administratifs forts et uniques pour toutes les interfaces. Lorsque cela est possible, implémentez une **Authentification Multi-Facteurs (MFA)** résistante au phishing. Contactez votre fournisseur de services ATG pour obtenir de l'aide si vous n'êtes pas familier avec ces procédures. 3. **Appliquer les correctifs** : Travaillez avec des fournisseurs de services ATG certifiés pour vérifier la conformité, mettre à jour les logiciels et appliquer les derniers correctifs de sécurité des fabricants. 4. **Surveiller et signaler** : Surveillez activement les réseaux pour détecter les accès non autorisés. * Activez la journalisation, l'audit et surveillez les journaux pour les expositions des interfaces des appareils ATG, les connexions non autorisées, les alarmes suspectes, les modifications des seuils d'alarme, les changements d'étiquettes de réservoirs et d'autres modifications du système. * Signalez rapidement les incidents suspectés au [portail](https://www.cisa.gov/topics/cyber-threats-and-advisories/information-sharing/cyber-incident-reporting-critical-infrastructure-act-2022-circia/voluntary-cyber-incident-reporting) de la **CISA**. 5. **Engager des fournisseurs de services tiers** : Assurez-vous que vos fournisseurs de services tiers adoptent les mesures d'atténuation primaires pour réduire les menaces cybernétiques sur la **Technologie Opérationnelle (OT)**, telles qu'énoncées par la **CISA**, le **FBI**, l'**EPA** et le **DOE**. ### Ressources Supplémentaires et Rapports Pour une analyse plus approfondie de la sécurisation de l'**OT** et des **Systèmes de Contrôle Industriels (ICS)**, les organisations devraient consulter : * La fiche d'information de la **CISA**, du **FBI**, de l'**EPA** et du **DOE** sur les [Mesures d'atténuation primaires pour réduire les menaces cybernétiques sur la technologie opérationnelle](https://www.cisa.gov/sites/default/files/2025-05/fact-sheet-primary-mitigations-to-reduce-cyber-threats-to-operational-technology-508c.pdf). * Les informations sur les vulnérabilités affectant les systèmes ATG, telles que [Vulnérabilités critiques découvertes dans les systèmes de jaugeage automatique de réservoirs](https://www.bitsight.com/blog/critical-vulnerabilities-discovered-automated-tank-gauge-systems). * La page web de la **CISA** sur les [Conseils pour la réduction de l'exposition sur Internet](https://www.cisa.gov/resources-tools/resources/exposure-reduction) pour identifier et supprimer les actifs accessibles sur Internet. * Les [Principes de connectivité sécurisée pour la technologie opérationnelle (OT)](https://www.ncsc.gov.uk/sites/default/files/documents/ncsc-secure-connectivity-for-operational-technology.pdf) du NCSC. Les organisations américaines sont encouragées à signaler toute activité suspecte ou criminelle liée à ces menaces : * **CISA** : Contactez le centre d'opérations 24h/24 et 7j/7 de la CISA via [[email protected]](mailto:[email protected]) ou le 888-282-0870. Fournissez des détails tels que la date, l'heure, le lieu, le type d'activité, les parties affectées, l'équipement et un point de contact. Plus d'informations sur le [Rapport volontaire d'incidents cybernétiques](https://www.cisa.gov/topics/cyber-threats-and-advisories/information-sharing/cyber-incident-reporting-critical-infrastructure-act-2022-circia/voluntary-cyber-incident-reporting). * **FBI** : Déposez une plainte auprès de l'Internet Crime Complaint Center (**IC3**) sur [www.ic3.gov](https://www.ic3.gov/). Incluez les détails de l'incident comme ci-dessus. * **EPA** : Contactez le Bureau de la sécurité nationale de l'EPA via [[email protected]](mailto:[email protected]). * **DOE** : Les entités ayant des exigences de reporting doivent suivre les procédures établies. Pour les autres demandes du secteur de l'énergie, contactez [[email protected]](mailto:[email protected]).