Des pirates liés à l'Iran ciblent activement des milliers d'automates programmables (PLC) fabriqués par **Rockwell Automation**, exposés sur Internet, dans le cadre de cyberattaques contre les réseaux d'infrastructures critiques américains. Selon un avis conjoint émis par plusieurs agences fédérales américaines, des groupes de piratage soutenus par l'État iranien ciblent des appareils PLC **Rockwell Automation/Allen-Bradley** depuis mars 2026, provoquant des perturbations opérationnelles et des pertes financières. « Les campagnes de ciblage APT affiliées à l'Iran contre des organisations américaines se sont récemment intensifiées, probablement en réponse aux hostilités entre l'Iran, les États-Unis et Israël », ont averti les agences auteurs. Le **FBI** a confirmé que cette activité a entraîné l'extraction du fichier projet de l'appareil et la manipulation de données sur les écrans HMI et SCADA. ### Les PLC exposés : un risque important La société de cybersécurité **Censys** rapporte que plus de 5 200 systèmes de contrôle industriels sont exposés en ligne dans le monde, une part importante provenant des États-Unis. « Les données de Censys identifient 5 219 hôtes exposés sur Internet dans le monde répondant à EtherNet/IP (EIP) et s'identifiant comme des appareils **Rockwell Automation/Allen-Bradley** », a déclaré Censys. « Les États-Unis représentent 74,6 % de l'exposition mondiale (3 891 hôtes), avec une part disproportionnée sur les ASN d'opérateurs cellulaires, indiquant des appareils déployés sur le terrain via des modems cellulaires. »  *PLC Rockwell/Allen Bradley exposés sur Internet (Censys)* ### Stratégies d'atténuation Pour se défendre contre ces attaques en cours, les défenseurs du réseau sont invités à : * Sécuriser les PLC à l'aide d'un pare-feu ou les déconnecter d'Internet. * Analyser les journaux à la recherche de signes d'activité malveillante. * Vérifier les trafics suspects sur les ports OT (surtout lorsqu'ils proviennent de fournisseurs d'hébergement étrangers). * Mettre en œuvre l'authentification multifacteur (MFA) pour l'accès aux réseaux OT. * Maintenir tous les appareils PLC à jour. * Désactiver les services et les méthodes d'authentification inutilisés. ### Échos d'attaques passées Cette campagne fait suite à des attaques similaires il y a près de trois ans, lorsqu'un groupe de menaces affilié au Corps des Gardiens de la révolution islamique (IRGC) du gouvernement iranien et suivi sous le nom de **CyberAv3ngers** a exploité des vulnérabilités dans les systèmes de technologie opérationnelle (OT) de **Unitronics** basés aux États-Unis. **CyberAv3ngers** a compromis au moins 75 appareils PLC **Unitronics** entre novembre 2023 et janvier 2024, la moitié d'entre eux ayant touché les réseaux d'infrastructures critiques des systèmes d'eau et d'eaux usées aux États-Unis. Plus récemment, le groupe hacktiviste **Handala** (lié au ministère iranien de la Sécurité et du Renseignement) a effacé environ 80 000 appareils du réseau du géant médical américain **Stryker**, y compris les appareils mobiles des employés et les ordinateurs personnels gérés par l'entreprise.