Plus de neuf cents systèmes ATG, qui surveillent le niveau de carburant ou de produits chimiques dans les réservoirs de stockage, sont connectés à Internet aux États-Unis et présentent des failles de sécurité. Ces dispositifs, essentiels pour plusieurs secteurs d’infrastructures critiques, sont la cible d’attaques actives.
Un ATG est un appareil électronique qui permet de contrôler à distance le contenu des cuves. Il gère les inventaires, signale les fuites pour le respect des normes environnementales et assure la conformité réglementaire. On trouve ces systèmes dans les stations-service pour le carburant, mais aussi dans des sites industriels pour des produits chimiques.
Mardi, plusieurs agences fédérales américaines, dont la Cybersecurity and Infrastructure Security Agency et le FBI, ont publié une alerte conjointe. Elles enjoignent les opérateurs d’infrastructures critiques à sécuriser leurs ATG accessibles sur le web face à des cyberattaques en cours.
Les autorités ont indiqué que les pirates informatiques ciblent ces équipements pour modifier leurs paramètres. Ils exploitent pour cela diverses vulnérabilités, comme des identifiants figés dans le code, des contournements d’authentification, des failles d’injection SQL ou des possibilités d’exécution de commandes.
L’alerte précise : « L’activité malveillante récemment observée par les organisations auteures, que le gouvernement américain n’a pas encore attribuée à un État-nation ou à un groupe, implique la compromission de systèmes ATG exposés sur Internet et leur modification via l’exécution de commandes. »
La CISA a averti qu’après une compromission réussie, les attaquants pourraient désactiver les alertes du système. Cela augmente les risques de fuite ou de panne matérielle, et pourrait même endommager définitivement les réservoirs visés.
En réaction à l’avis de la CISA, l’organisme de surveillance Shadowserver a signalé ce jour que plus de mille systèmes ATG étaient exposés en ligne. La grande majorité, soit 909 appareils, se trouve sur le territoire américain.
Shadowserver a déclaré : « Nous avons ajouté le scan des systèmes de jauges de réservoir automatiques à notre rapport sur les systèmes de contrôle industriels accessibles, avec 1061 adresses IP détectées le 5 juin 2026 sur le port 10001/tcp. Ce chiffre exclut la vaste majorité des dispositifs qui semblaient être des pièges à pirates. »
Les organisations concernées doivent immédiatement restreindre l’accès à distance à leurs ATG depuis Internet. Il est recommandé de mettre en place un accès contrôlé via des pare-feu, des VPN ou des listes de contrôle d’accès.
Elles doivent aussi remplacer les mots de passe par défaut par des identifiants robustes, appliquer les mises à jour de sécurité, surveiller les systèmes pour détecter les modifications non autorisées et activer l’authentification à plusieurs facteurs lorsque c’est possible.
L’avertissement de la CISA fait suite à un rapport de CNN en mai, qui révélait que des pirates iraniens avaient pénétré des systèmes ATG connectés à Internet dans plusieurs stations-service aux États-Unis. Des groupes de piratage iraniens ont été associés à ces incidents en raison de leur historique d’attaques contre des systèmes de gestion de carburant et d’autres technologies de contrôle industriel.
Après avoir piraté les appareils qui avaient des mots de passe faibles ou inexistants, les attaquants ont manipulé les valeurs affichées sur les écrans sans changer le niveau réel de carburant. Ces incidents n’ont pas causé de dommages physiques, mais ils inquiètent car de telles attaques pourraient entraver la détection automatisée des fuites et d’autres fonctions de sécurité.
En avril, une autre alerte conjointe des agences fédérales américaines a relié des pirates soutenus par l’État iranien à des attaques ciblant des automates programmables Rockwell Automation/Allen-Bradley depuis mars 2026. Ces attaques ont provoqué des pertes financières et des perturbations opérationnelles.
Le lendemain de cette alerte, la société de cybersécurité Censys a rapporté que 74,6 % des systèmes de contrôle industriel de ce type exposés en ligne dans le monde, soit 3891 hôtes, se trouvaient aux États-Unis.