WASHINGTON— Les agences de renseignement américaines « avertissent de toute urgence » les entreprises du secteur privé dans tout le pays que des acteurs iraniens « mènent des activités d’exploitation » qui ont entraîné des « perturbations dans plusieurs infrastructures critiques américaines », selon un avis du gouvernement examiné par le Instances.
La cyberactivité iranienne survient alors que le président Trump menace de cibler les infrastructures critiques de l’Iran dans les heures à venir, en particulier ses ponts et ses centrales électriques.
L’attaque iranienne visait les produits Allen-Bradley de Rockwell Automation, l’une des marques d’automatisation industrielle les plus utilisées, selon l’avis, qui indiquait que les cyberacteurs affiliés à l’Iran exploitaient « des contrôleurs logiques programmables dans l’infrastructure critique américaine ».
Les campagnes de ciblage de Téhéran contre les organisations américaines « se sont récemment intensifiées, probablement en réponse aux hostilités entre l’Iran, les États-Unis et Israël », avertit le communiqué.
« Les acteurs des menaces persistantes avancées (APT) affiliés à l’Iran mènent des activités d’exploitation ciblant les appareils de technologie opérationnelle (OT) connectés à Web, y compris les contrôleurs logiques programmables (PLC) fabriqués par Rockwell Automation/Allen-Bradley », indique l’avis.
« Les organisations américaines devraient examiner de toute urgence les tactiques, methods et procédures (TTP) et les indicateurs de compromission (IOC) contenus dans cet avis pour obtenir des indications sur l’activité actuelle ou historique sur leurs réseaux », poursuit-il.
L’avis a été publié mardi conjointement par le FBI, la Cybersecurity and Infrastructure Safety Company, la Nationwide Safety Company, l’Environmental Safety Company, le ministère de l’Énergie et le Cyber Command.
Les hauts dirigeants d’entreprises qui sont au cœur de la capacité de fonctionnement du pays – ceux qui dirigent les plus grandes sociétés américaines d’énergie, d’eau, de transport et de communications – avaient déjà pris sur eux d’accroître leur vigilance face à d’éventuelles attaques, craignant que la volonté de Trump de cibler par inadvertance les infrastructures critiques de l’Iran ne leur marque le dos.
Certains craignent la capacité de l’Iran à mener des cyberopérations susceptibles de détruire des transformateurs ou des onduleurs, voire un système électrique à grande échelle. D’autres s’inquiètent des menaces qui pèsent sur les websites physiques de la half des mandataires de Téhéran – attaques physiques contre des installations telles que les centrales nucléaires ou les systèmes de gestion de l’énergie, les joyaux du secteur.
Des acteurs plus importants et encore plus compétents, notamment la Russie et la Chine, pourraient également profiter du brouillard de guerre pour lancer eux-mêmes des frappes.
« Des inquiétudes subsistent concernant les cybercapacités iraniennes et les représailles si les États-Unis mettent à exécution leurs menaces d’attaque sur leurs infrastructures », a déclaré Ernest Moniz, ancien secrétaire américain à l’énergie sous le président Obama qui a aidé à négocier l’accord nucléaire de 2015 avec l’Iran. « Il se peut déjà que des portes dérobées, des chevaux de Troie et des logiciels malveillants soient cachés dans notre infrastructure. »
“Je dois croire que les cyber-experts du gouvernement – ou ce qu’il en reste – travaillent en étroite collaboration et même en faisant des heures supplémentaires avec les compagnies d’électricité et d’autres opérateurs d’infrastructures sur la cyberdéfense et la détection et l’alerte des intrusions”, a ajouté Moniz.
L’Iran a déjà démontré sa capacité à pénétrer les réseaux liés aux infrastructures critiques américaines.
En 2015, des pirates informatiques soutenus par l’Iran ont accédé aux données associées à Calpine Corp., l’un des plus grands producteurs d’électricité de Californie, obtenant des schémas methods détaillés et des informations d’identification liées aux systèmes des centrales électriques. Certains ont été qualifiés de « critiques pour la mission ». Les responsables américains craignaient à l’époque que cette brèche ne permette à Téhéran de déclencher des coupures d’électricité dans tout le pays.
Depuis lors, les entreprises situées au cœur des secteurs américains de l’énergie et des télécommunications ont considérablement amélioré leurs défenses. Mais les capacités offensives de l’Iran se sont également améliorées.
Les grands acteurs du secteur de l’énergie opèrent actuellement avec « un œil vigilant et une posture élevée », a déclaré Pedro J. Pizarro, président et directeur général d’Edison Worldwide, la société mère de Southern California Edison, l’un des plus grands providers publics d’électricité du pays.
Des entreprises comme Edison opèrent sous une menace persistante depuis plus d’une décennie. En 2024, deux attaques de cyberespionnage dévastatrices ciblant des infrastructures critiques américaines attribuées à des pirates informatiques chinois, Volt Hurricane et Salt Hurricane, ont été découvertes après avoir évité d’être détectées pendant au moins trois ans.
La menace d’une attaque tout aussi latente – dans laquelle des logiciels malveillants dorment dans les systèmes d’infrastructures critiques, en attente d’un sign pour s’activer – est une véritable supply d’inquiétude dans le secteur, malgré tous ses efforts et ses avancées technologiques, ont déclaré des specialists et des initiés.
« La menace d’attaques cybernétiques et physiques ciblant les infrastructures critiques n’est pas nouvelle », a déclaré Jennifer DeCesaro, vice-présidente principale des opérations industrielles à l’Edison Electrical Institute, « c’est pourquoi nous collaborons avec le gouvernement par l’intermédiaire du Conseil de coordination du sous-secteur de l’électricité pour partager des renseignements exploitables et nous préparer à répondre aux incidents qui pourraient affecter notre capacité à fournir de l’électricité de manière sûre et fiable.
L’ESCC travaille en étroite collaboration avec le Conseil nationwide de sécurité et ses providers de renseignement, en particulier les agences de renseignement et la Cybersecurity and Infrastructure Safety Company, ou CISA, pour coordonner des séances d’data régulières sur les normes de sécurité, les meilleures pratiques et les conseils en matière de renseignement.
La CIA a refusé de commenter. Un porte-parole de la CISA, répertorié comme démis de ses fonctions en raison de l’interruption actuelle du financement fédéral du ministère de la Sécurité intérieure, n’a pas pu être contacté pour commenter.
L’été dernier, en annonçant une réduction de 40 % des effectifs de son bureau, la directrice du renseignement nationwide, Tulsi Gabbard, a supprimé le Cyber Risk Intelligence Integration Middle, auparavant considéré comme un centre de fusion critique d’informations par les partenaires du secteur privé.
Invitée à répondre à d’éventuelles représailles contre les infrastructures américaines, Karoline Leavitt, la secrétaire de presse de la Maison Blanche, a réitéré les menaces du président.
« Le régime iranien a jusqu’à 20 heures, heure de l’Est, pour trouver le second et conclure un accord avec les États-Unis », a-t-elle déclaré. “Seul le président sait où en sont les choses et ce qu’il va faire.”
Trump a menacé de détruire tous les ponts et centrales électriques d’Iran s’ils ne parviennent pas à un accord mettant fin à son contrôle sur le détroit d’Ormuz.
En fin de compte, ce sont les dirigeants d’entreprises qui assument une grande partie du fardeau en tant que première ligne de défense des infrastructures critiques du pays, dont environ 85 % appartiennent à des entreprises du secteur privé.
Tom Fanning, ancien PDG de Southern Co. et aujourd’hui président du comité exécutif de l’Alliance pour les infrastructures critiques, a déclaré que la menace iranienne était « crédible ».
“Je n’ai pas vu ce que je décrirais comme une menace existentielle, à savoir la destruction d’un vaste système électrique”, a déclaré Fanning. “Ces choses pourraient-elles être activées ? Bien sûr. Les infrastructures critiques des États-Unis sont-elles prêtes à agir ? Je pense que oui.”
Le mois dernier, au début de la guerre, le système de transport en commun du métro de Los Angeles a été contraint de fermer une partie de son réseau en raison d’un piratage. Les autorités affirment qu’il n’est toujours pas clair qui est à l’origine de cette violation, mais une supply a déclaré au Instances que des pirates informatiques soutenus par l’Iran font l’objet d’une enquête en tant que coupables potentiels.
L’agence de transport a déclaré que son équipe de sécurité avait « découvert une activité non autorisée » et s’assurait que ses quelque 1 400 serveurs étaient sécurisés avant de les remettre en ligne. L’agence a souligné que le piratage n’avait pas d’influence sur le temps de trajet des passagers.
Le FBI a déclaré qu’il était au courant du piratage. La sécurité intérieure travaille avec des partenaires locaux « pour lutter contre les cybermenaces contre les infrastructures critiques », a déclaré un responsable.
« La réalité est que les menaces sont ici et maintenant », a ajouté Fanning. “La vérité est que les méchants sont déjà là.”
Les rédacteurs du Instances, Kevin Rector, Richard Winton et Rebecca Ellis, de Los Angeles, ont contribué à ce rapport.
