Des hackers iraniens ciblent des infrastructures critiques américaines

LockSelf Team

5 min de lecture
Partager
Des hackers iraniens ciblent des infrastructures critiques américaines

Analyse technique

Cible et surface d'attaque

Les campagnes récentes visant des automates Rockwell/Allen-Bradley montrent une répétition d'erreurs structurelles dans la protection des environnements OT. Des PLC utilisés dans des stations de pompage, des usines de traitement de l'eau et d'autres infrastructures critiques apparaissent directement accessibles depuis Internet, souvent sans segmentation ni protection adaptée. Des groupes liés à l'Iran ont été rapportés comme actifs sur ce type de cible¹.

Sur le terrain, les vecteurs observés reviennent systématiquement:

  • Scans massifs d'adresses publiques pour repérer les services EtherNet/IP (port 44818), HTTP/HTTPS et les interfaces de configuration à distance. Un exemple d'outil de reconnaissance basique: nmap -sS 203.0.113.0/24 -p 44818,80,443.
  • Tentatives de connexion par brute force sur comptes d'administration et usage fréquent de mots de passe par défaut ou faibles.
  • Recours à des protocoles non chiffrés (EtherNet/IP, Modbus/TCP) pour interroger ou modifier des variables opérationnelles.

La conséquence directe d'une exposition est rarement limitée à un seul automate: l'accès initial sert de porte d'entrée pour escalader vers d'autres équipements OT et vers l'IT lorsque la segmentation fait défaut.

Mécanismes d'intrusion observés

Les équipes malveillantes exploitent des processus automatisés et des étapes simples mais efficaces. Lors d'incidents analysés, j'ai constaté la chaîne suivante:

  • Reconnaissance automatisée: scripts et requêtes HTTP simples identifient les signatures des interfaces Rockwell (par exemple curl -I http://192.0.2.10 pour récupérer les en-têtes et détecter un panneau de gestion).
  • Accès initial via interfaces Web non protégées ou accès distants mal configurés. L'ouverture d'une interface de gestion sans authentification robuste suffit souvent.
  • Altération des paramètres ou chargement de programmes ladder malveillants pour modifier comportements d'équipements (vannes, débits, consignes de pompes).
  • Implantation de mécanismes de persistance: outils et scripts qui survivent aux redémarrages ou qui rétablissent l'accès après intervention.

Un exemple opérationnel concret: modifier la consigne d'une pompe pour provoquer un niveau anormal dans un réservoir. Ce type d'action peut être discret et se dérouler sur une période permettant d'empêcher une réaction rapide de l'opérateur.

Vulnérabilités fréquemment rencontrées et ressources constructeur

On observe plusieurs causes récurrentes d'exposition:

  • Authentification absente ou faiblesse des mots de passe.
  • Interfaces Web non sécurisées et absence de contrôle d'accès granulaires.
  • Firmwares non mis à jour laissant subsister des failles connues.

Rockwell publie des avis et correctifs qu'il faut suivre pour réduire la surface d'attaque². Dans vos investigations, commencez par l'inventaire des versions: une commande ou une requête de statut peut offrir l'information (ex. SHOW VERSION sur certains systèmes) et orienter la priorisation des mises à jour.

Scénarios d'attaque concrets observés

Les impacts réels rapportés sur le terrain incluent:

  • Fermeture inopinée d'une vanne sur une station de pompage entraînant une rupture d'approvisionnement local.
  • Modification des dosages chimiques dans des processus, exposant des risques sanitaires et des conséquences juridiques.
  • Altérations progressives des paramètres moteurs provoquant une usure accélérée et des pannes coûteuses.

Ces exemples illustrent la diversité des conséquences possibles: sécurité des personnes, continuité de service et coûts opérationnels.

Impacts business

Conséquences opérationnelles et financières

Une compromission OT peut provoquer des arrêts de production immédiats si les opérations automatiques se trouvent perturbées. Sans procédures claires de reprise, la coordination entre exploitation, maintenance et sécurité devient chaotique. Les réparations matérielles, la remise en état des automates et la vérification des programmes ladder représentent des coûts directs et des pertes de production qui montent rapidement.

La perte ou la corruption des programmes de contrôle fragilise la capacité à redémarrer en sécurité. Disposer de sauvegardes cohérentes et testées reste une priorité opérationnelle.

Conséquences réglementaires et réputationnelles

Illustration cybersécurité

Un incident sur une installation critique, par exemple dans le secteur de l'eau, peut déclencher des sanctions réglementaires et une perte de confiance durable des clients et des partenaires. Les assureurs évaluent la posture de sécurité; des pratiques insuffisantes peuvent conduire à l'augmentation des primes ou à l'exclusion de couverture.

Risques nationaux et sectoriels

Les attaques contre des infrastructures critiques peuvent être coordonnées et viser plusieurs sites simultanément. La dimension géopolitique est à prendre au sérieux, surtout lorsque des campagnes sont liées à des acteurs étatiques ou parrainés par des États¹.

Recommandations

Mesures techniques immédiates (0-30 jours)

  • Identifier et isoler: dresser un inventaire des PLC accessibles depuis Internet et déconnecter immédiatement les unités exposées.
  • Segmenter strictement le réseau OT: déployer pare-feu, listes de contrôle et règles de filtrage pour limiter les flux entre IT et OT.
  • Renforcer les accès: imposer des mots de passe complexes, révoquer les comptes par défaut et contrôler les comptes privilégiés.
  • Appliquer les correctifs Rockwell identifiés comme critiques², après tests en environnement contrôlé.
  • Activer la journalisation et centraliser les logs dans un SIEM pour faciliter la détection et l'analyse.

Mesures opérationnelles et organisationnelles (30-90 jours)

  • Déployer l'authentification multifactorielle pour les accès sensibles.
  • Exiger l'utilisation de VPN sécurisés et de bastions pour toute maintenance distante.
  • Mettre en place des scans réguliers de vulnérabilités avec des outils adaptés (ex. Nessus) et un calendrier de remédiation.
  • Élaborer et tester un plan de réponse aux incidents OT, impliquant exploitation, sécurité et maintenance.

Résilience à long terme

  • Interdire l'accès direct à Internet des PLC; privilégier accès via VPN et bastion avec journalisation complète.
  • Mettre en place des sauvegardes immuables des configurations et tester régulièrement les restaurations.
  • Structurer la gestion des vulnérabilités avec des rôles et des processus clairs pour prioriser les corrections en fonction du risque métier.
  • Former les opérateurs à la cybersécurité quotidienne: reconnaissance de comportement anormal, procédures d'escalade et bonnes pratiques de maintenance.

Check-list technique rapide

  • [ ] Identifier tous les PLC et interfaces non protégées
  • [ ] Appliquer les correctifs Rockwell et reconfigurer les comptes
  • [ ] Segmenter OT/IT et restreindre les flux
  • [ ] Mettre en place MFA, VPN et journalisation centralisée
  • [ ] Tester les plans de restauration et conduire des exercices d'incident

Coordonnez ces mesures avec les équipes d'exploitation, de maintenance et la direction. Réduire la surface d'exposition est la première action à mener; la gouvernance OT viendra ensuite stabiliser les améliorations.

Questions fréquentes

Comment savoir si mon automate est exposé sur Internet?

Scanner la plage d'adresses publiques pour services EtherNet/IP, Modbus/TCP et interfaces Web; utiliser des outils d'inventaire réseau et vérifier les accès distants provisionnés. Toute interface de gestion accessible depuis l'extérieur doit être considérée exposée et isolée immédiatement¹.

Les mises à jour firmware sont-elles sûres à appliquer en production?

Évaluer les correctifs fournis par le constructeur dans un environnement de test OT avant déploiement en production. Prioriser les correctifs critiques documentés par le fournisseur et planifier des fenêtres de maintenance pour réduire les risques opérationnels².

Que faire si un PLC a été compromis?

Isoler l'équipement, capturer images et logs pour investigation, restaurer programmes légitimes depuis sauvegardes immuables et réinitialiser comptes d'administration. Faire appel à une équipe spécialisée en réponse incidents OT.

Peut-on chiffrer les communications industrielles?

Certaines extensions et passerelles permettent de chiffrer ou sécuriser les communications; toutefois, beaucoup d'installations utilisent encore EtherNet/IP ou Modbus en clair. Mettre en place des tunnels VPN et une segmentation pour limiter l'exposition.

Quelle est la priorité pour un petit site de traitement d'eau?

Prioriser l'inventaire des dispositifs exposés, isoler tout accès Internet, appliquer correctifs critiques et établir sauvegardes hors-ligne des configurations. Ensuite, mettre en place segmentation réseau et procédures d'intervention.

Sources

Lire la suite