<?xml version="1.0" encoding="utf-8" standalone="yes"?>
<rss version="2.0" xmlns:atom="http://www.w3.org/2005/Atom" xmlns:content="http://purl.org/rss/1.0/modules/content/">
  <channel>
    <title>OT on CyberVeille</title>
    <link>https://cyberveille.ch/tags/ot/</link>
    <description>Recent content in OT on CyberVeille</description>
    <generator>Hugo -- 0.146.0</generator>
    <language>fr-fr</language>
    <copyright>Cyberveille CC BY-NC-SA 4.0</copyright>
    <lastBuildDate>Fri, 03 Jul 2026 00:00:00 +0000</lastBuildDate>
    <atom:link href="https://cyberveille.ch/tags/ot/index.xml" rel="self" type="application/rss+xml" />
    <item>
      <title>Sept vulnérabilités dans FatFs : impact massif sur l&#39;IoT, l&#39;OT et les systèmes embarqués</title>
      <link>https://cyberveille.ch/posts/2026-07-03-sept-vulnerabilites-dans-fatfs-impact-massif-sur-l-iot-l-ot-et-les-systemes-embarques/</link>
      <pubDate>Fri, 03 Jul 2026 00:00:00 +0000</pubDate>
      <guid>https://cyberveille.ch/posts/2026-07-03-sept-vulnerabilites-dans-fatfs-impact-massif-sur-l-iot-l-ot-et-les-systemes-embarques/</guid>
      <description>&lt;h2 id=&#34;-contexte&#34;&gt;🔍 Contexte&lt;/h2&gt;
&lt;p&gt;Publié le 1er juillet 2026 par runZero (todb / HD Moore), cet article de recherche documente la découverte de &lt;strong&gt;sept vulnérabilités dans FatFs&lt;/strong&gt;, une bibliothèque FAT open-source embarquée très répandue. La recherche a été initiée en mars 2026 en reprenant un audit manuel de 2017, cette fois avec l&amp;rsquo;aide de &lt;strong&gt;GitHub Copilot en mode automatique&lt;/strong&gt; pour générer des fuzzers et valider l&amp;rsquo;exploitabilité.&lt;/p&gt;
&lt;h2 id=&#34;-vulnérabilités-identifiées&#34;&gt;🐛 Vulnérabilités identifiées&lt;/h2&gt;
&lt;p&gt;Les sept CVEs sont listées par ordre de criticité :&lt;/p&gt;</description>
    </item>
    <item>
      <title>Ciblage des systèmes d&#39;eau par des États-nations : Iran, Russie et Chine (2024-2026)</title>
      <link>https://cyberveille.ch/posts/2026-06-26-ciblage-des-systemes-d-eau-par-des-etats-nations-iran-russie-et-chine-2024-2026/</link>
      <pubDate>Fri, 26 Jun 2026 00:00:00 +0000</pubDate>
      <guid>https://cyberveille.ch/posts/2026-06-26-ciblage-des-systemes-d-eau-par-des-etats-nations-iran-russie-et-chine-2024-2026/</guid>
      <description>&lt;p&gt;📅 &lt;strong&gt;Source et contexte&lt;/strong&gt; : Rapport de threat intelligence publié le 25 juin 2026 par DomainTools Intelligence (DTI), couvrant les opérations cyber étatiques et para-étatiques ciblant les systèmes d&amp;rsquo;eau et d&amp;rsquo;assainissement entre 2024 et 2026.&lt;/p&gt;
&lt;p&gt;🎯 &lt;strong&gt;Contexte stratégique&lt;/strong&gt; : Les systèmes d&amp;rsquo;eau et d&amp;rsquo;assainissement sont devenus des cibles privilégiées de la guerre hybride en raison de leur sous-investissement chronique en cybersécurité OT, de l&amp;rsquo;exposition internet de leurs &lt;strong&gt;PLCs&lt;/strong&gt; et &lt;strong&gt;HMIs&lt;/strong&gt;, et de leur valeur psychologique et politique disproportionnée. Les trois acteurs étatiques majeurs (Iran, Russie, Chine) convergent vers la même doctrine : utiliser ces infrastructures civiles comme leviers de pression sans franchir le seuil du conflit ouvert.&lt;/p&gt;</description>
    </item>
    <item>
      <title>CVE-2025-67038 : exécution de commandes arbitraires dans les convertisseurs Lantronix EDS5000 ajoutée au KEV CISA</title>
      <link>https://cyberveille.ch/posts/2026-06-26-cve-2025-67038-execution-de-commandes-arbitraires-dans-les-convertisseurs-lantronix-eds5000-ajoutee-au-kev-cisa/</link>
      <pubDate>Fri, 26 Jun 2026 00:00:00 +0000</pubDate>
      <guid>https://cyberveille.ch/posts/2026-06-26-cve-2025-67038-execution-de-commandes-arbitraires-dans-les-convertisseurs-lantronix-eds5000-ajoutee-au-kev-cisa/</guid>
      <description>&lt;h2 id=&#34;-contexte&#34;&gt;🗓️ Contexte&lt;/h2&gt;
&lt;p&gt;Publié le 24 juin 2026 par Dataminr (auteur : Joseph Slowik, Director of Threat Research and Cyber Engineering), cet article analyse l&amp;rsquo;ajout de &lt;strong&gt;CVE-2025-67038&lt;/strong&gt; au catalogue KEV (Known Exploited Vulnerabilities) de la CISA le 23 juin 2026, aux côtés de trois vulnérabilités affectant la plateforme Ubiquiti.&lt;/p&gt;
&lt;h2 id=&#34;-vulnérabilité-concernée&#34;&gt;🔍 Vulnérabilité concernée&lt;/h2&gt;
&lt;ul&gt;
&lt;li&gt;&lt;strong&gt;CVE-2025-67038&lt;/strong&gt; : vulnérabilité d&amp;rsquo;&lt;strong&gt;injection de code / exécution de commandes arbitraires&lt;/strong&gt; dans la plateforme &lt;strong&gt;Lantronix EDS5000&lt;/strong&gt;&lt;/li&gt;
&lt;li&gt;Le Lantronix EDS5000 est un &lt;strong&gt;convertisseur série-ethernet&lt;/strong&gt; utilisé dans l&amp;rsquo;&lt;strong&gt;automatisation industrielle&lt;/strong&gt; et les environnements OT/IoT&lt;/li&gt;
&lt;li&gt;Ces dispositifs constituent des &lt;strong&gt;points de passage critiques&lt;/strong&gt; (choke points) pour les opérations cyber-physiques&lt;/li&gt;
&lt;li&gt;L&amp;rsquo;ajout au KEV confirme une &lt;strong&gt;exploitation active documentée&lt;/strong&gt;&lt;/li&gt;
&lt;/ul&gt;
&lt;h2 id=&#34;-implications-opérationnelles&#34;&gt;⚠️ Implications opérationnelles&lt;/h2&gt;
&lt;ul&gt;
&lt;li&gt;Exploitation possible entraînant une &lt;strong&gt;perte ou un déni de contrôle&lt;/strong&gt; sur des équipements industriels ou d&amp;rsquo;automatisation en aval&lt;/li&gt;
&lt;li&gt;Les environnements industriels à &lt;strong&gt;haute disponibilité&lt;/strong&gt; ne peuvent généralement pas appliquer des correctifs hors fenêtre de maintenance planifiée&lt;/li&gt;
&lt;li&gt;Des &lt;strong&gt;mesures compensatoires&lt;/strong&gt; sont nécessaires dans l&amp;rsquo;immédiat&lt;/li&gt;
&lt;/ul&gt;
&lt;h2 id=&#34;-précédents-dacteurs-étatiques&#34;&gt;🏴‍☠️ Précédents d&amp;rsquo;acteurs étatiques&lt;/h2&gt;
&lt;ul&gt;
&lt;li&gt;&lt;strong&gt;2015 – Ukraine&lt;/strong&gt; : &lt;strong&gt;Sandworm&lt;/strong&gt; (GRU russe) a attaqué des sous-stations de distribution électrique, développant un &lt;strong&gt;payload de firmware malveillant&lt;/strong&gt; pour « bricker » des convertisseurs série-ethernet, induisant une perte de contrôle et compliquant la restauration&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;~2025 – Pologne&lt;/strong&gt; : &lt;strong&gt;Berserk Bear&lt;/strong&gt; (FSB russe) a exploité des &lt;strong&gt;identifiants par défaut&lt;/strong&gt; sur des convertisseurs série-ethernet dans des entités industrielles polonaises pour les réinitialiser en paramètres d&amp;rsquo;usine, modifier les identifiants et les adresses IP, rendant les équipements inaccessibles&lt;/li&gt;
&lt;/ul&gt;
&lt;h2 id=&#34;-type-darticle&#34;&gt;📌 Type d&amp;rsquo;article&lt;/h2&gt;
&lt;p&gt;Analyse de menace à visée opérationnelle, destinée aux équipes de sécurité industrielle et OT, visant à contextualiser l&amp;rsquo;ajout au KEV CISA et à évaluer le niveau de risque cyber-physique associé à CVE-2025-67038.&lt;/p&gt;</description>
    </item>
    <item>
      <title>Attaque ransomware contre Mackay Sugar : deux moulins australiens à l&#39;arrêt</title>
      <link>https://cyberveille.ch/posts/2026-06-21-attaque-ransomware-contre-mackay-sugar-deux-moulins-australiens-a-l-arret/</link>
      <pubDate>Sun, 21 Jun 2026 00:00:00 +0000</pubDate>
      <guid>https://cyberveille.ch/posts/2026-06-21-attaque-ransomware-contre-mackay-sugar-deux-moulins-australiens-a-l-arret/</guid>
      <description>&lt;h2 id=&#34;-contexte&#34;&gt;🗓️ Contexte&lt;/h2&gt;
&lt;p&gt;Source : SecurityWeek, article de Eduard Kovacs publié le 15 juin 2026. L&amp;rsquo;incident a été rendu public le 10 juin 2026 par Mackay Sugar, deuxième producteur de sucre brut d&amp;rsquo;Australie, opérant trois moulins de traitement de canne à sucre dans le Queensland.&lt;/p&gt;
&lt;h2 id=&#34;-incident&#34;&gt;🎯 Incident&lt;/h2&gt;
&lt;p&gt;Mackay Sugar a été victime d&amp;rsquo;une &lt;strong&gt;attaque ransomware&lt;/strong&gt; menée par le groupe &lt;strong&gt;The Gentlemen&lt;/strong&gt; (suivi par Microsoft sous le nom &lt;strong&gt;Storm-2697&lt;/strong&gt;). L&amp;rsquo;attaque a provoqué l&amp;rsquo;&lt;strong&gt;arrêt d&amp;rsquo;au moins deux des trois moulins&lt;/strong&gt; de l&amp;rsquo;entreprise, perturbant les opérations de broyage, d&amp;rsquo;approvisionnement en canne et de logistique.&lt;/p&gt;</description>
    </item>
    <item>
      <title>ENISA NIS360 2026 : état de la maturité cybersécurité des secteurs critiques européens</title>
      <link>https://cyberveille.ch/posts/2026-06-07-enisa-nis360-2026-etat-de-la-maturite-cybersecurite-des-secteurs-critiques-europeens/</link>
      <pubDate>Sun, 07 Jun 2026 00:00:00 +0000</pubDate>
      <guid>https://cyberveille.ch/posts/2026-06-07-enisa-nis360-2026-etat-de-la-maturite-cybersecurite-des-secteurs-critiques-europeens/</guid>
      <description>&lt;h2 id=&#34;-contexte&#34;&gt;🏛️ Contexte&lt;/h2&gt;
&lt;p&gt;Publié en mai 2026 par l&amp;rsquo;Agence de l&amp;rsquo;Union européenne pour la cybersécurité (ENISA), le rapport &lt;strong&gt;NIS360 2026&lt;/strong&gt; constitue la troisième édition annuelle d&amp;rsquo;évaluation de la &lt;strong&gt;maturité cybersécurité&lt;/strong&gt; et de la &lt;strong&gt;criticité&lt;/strong&gt; des secteurs de haute criticité identifiés à l&amp;rsquo;Annexe I de la directive NIS2. L&amp;rsquo;évaluation couvre l&amp;rsquo;ensemble de l&amp;rsquo;écosystème sectoriel (entités, autorités nationales, organismes UE, cadres législatifs) à partir d&amp;rsquo;enquêtes menées auprès d&amp;rsquo;environ &lt;strong&gt;300 entreprises de 25 États membres&lt;/strong&gt; et &lt;strong&gt;100 autorités nationales&lt;/strong&gt; entre juin et octobre 2025.&lt;/p&gt;</description>
    </item>
    <item>
      <title>CISA et partenaires alertent sur des cyberattaques ciblant les systèmes de jauges automatiques de réservoirs</title>
      <link>https://cyberveille.ch/posts/2026-06-06-cisa-et-partenaires-alertent-sur-des-cyberattaques-ciblant-les-systemes-de-jauges-automatiques-de-reservoirs/</link>
      <pubDate>Sat, 06 Jun 2026 00:00:00 +0000</pubDate>
      <guid>https://cyberveille.ch/posts/2026-06-06-cisa-et-partenaires-alertent-sur-des-cyberattaques-ciblant-les-systemes-de-jauges-automatiques-de-reservoirs/</guid>
      <description>&lt;h2 id=&#34;-contexte&#34;&gt;🏛️ Contexte&lt;/h2&gt;
&lt;p&gt;Le 2 juin 2026, la CISA, le FBI, la NSA, le DOE, l&amp;rsquo;EPA, la TSA, le DOT et l&amp;rsquo;USDA ont publié conjointement une fiche d&amp;rsquo;information (TLP:CLEAR) alertant sur des &lt;strong&gt;activités malveillantes ciblant les systèmes de jauges automatiques de réservoirs (ATG)&lt;/strong&gt; basés aux États-Unis. L&amp;rsquo;activité n&amp;rsquo;a pas encore été attribuée à un État ou à un groupe d&amp;rsquo;acteurs spécifique.&lt;/p&gt;
&lt;h2 id=&#34;-cibles-et-contexte-opérationnel&#34;&gt;🎯 Cibles et contexte opérationnel&lt;/h2&gt;
&lt;p&gt;Les &lt;strong&gt;systèmes ATG&lt;/strong&gt; sont utilisés dans les secteurs de l&amp;rsquo;énergie, de la chimie, de l&amp;rsquo;alimentation/agriculture et des transports pour la surveillance automatisée et à distance des paramètres de stockage (niveaux de carburant, température, détection de fuites). Les acteurs malveillants ciblent spécifiquement les systèmes &lt;strong&gt;exposés directement sur internet&lt;/strong&gt;.&lt;/p&gt;</description>
    </item>
    <item>
      <title>Cyber Isnaad Front (IRGC/ASA) : sabotage IT et OT d&#39;une usine alimentaire israélienne</title>
      <link>https://cyberveille.ch/posts/2026-05-31-cyber-isnaad-front-irgc-asa-sabotage-it-et-ot-d-une-usine-alimentaire-israelienne/</link>
      <pubDate>Sun, 31 May 2026 00:00:00 +0000</pubDate>
      <guid>https://cyberveille.ch/posts/2026-05-31-cyber-isnaad-front-irgc-asa-sabotage-it-et-ot-d-une-usine-alimentaire-israelienne/</guid>
      <description>&lt;h2 id=&#34;-contexte&#34;&gt;🔍 Contexte&lt;/h2&gt;
&lt;p&gt;Source : Profero Threat Intelligence, publiée le 24 mai 2026. L&amp;rsquo;article documente une opération de sabotage combinée IT/OT menée contre une usine de production alimentaire israélienne, attribuée avec haute confiance à &lt;strong&gt;Cyber Isnaad Front&lt;/strong&gt;, persona opérée par ou aux côtés d&amp;rsquo;&lt;strong&gt;Aria Sepehr Ayandehsazan (ASA)&lt;/strong&gt;, successeur de l&amp;rsquo;entité sanctionnée &lt;strong&gt;Emennet Pasargad&lt;/strong&gt;, affiliée à l&amp;rsquo;IRGC.&lt;/p&gt;
&lt;h2 id=&#34;-acteur-de-la-menace&#34;&gt;🎭 Acteur de la menace&lt;/h2&gt;
&lt;ul&gt;
&lt;li&gt;&lt;strong&gt;Cyber Isnaad Front&lt;/strong&gt; : persona arabophone présentée comme un collectif hacktiviste pro-palestinien, active depuis juin 2025&lt;/li&gt;
&lt;li&gt;Opérée par/avec &lt;strong&gt;ASA (Aria Sepehr Ayandehsazan)&lt;/strong&gt;, successeur d&amp;rsquo;Emennet Pasargad (sanctionné par l&amp;rsquo;OFAC pour ingérence électorale US 2020)&lt;/li&gt;
&lt;li&gt;Modèle opératoire : hack-and-leak public + destruction silencieuse en arrière-plan&lt;/li&gt;
&lt;li&gt;Cibles déclarées : sous-traitants défense israéliens, logistique carburant (~5 To), opérateurs télécom (&amp;gt;160 clients data center)&lt;/li&gt;
&lt;/ul&gt;
&lt;h2 id=&#34;-volet-it--malware-grat-go-remote-access-toolkit&#34;&gt;💻 Volet IT : malware GRAT (Go Remote Access Toolkit)&lt;/h2&gt;
&lt;p&gt;&lt;strong&gt;GRAT&lt;/strong&gt; est un binaire Go unique (~10,4 Mo) intégrant 11 sous-systèmes :&lt;/p&gt;</description>
    </item>
    <item>
      <title>VOLTZITE et AZURITE ciblent les réseaux OT du secteur pétrolier et gazier en 2025</title>
      <link>https://cyberveille.ch/posts/2026-04-16-voltzite-et-azurite-ciblent-les-reseaux-ot-du-secteur-petrolier-et-gazier-en-2025/</link>
      <pubDate>Thu, 16 Apr 2026 00:00:00 +0000</pubDate>
      <guid>https://cyberveille.ch/posts/2026-04-16-voltzite-et-azurite-ciblent-les-reseaux-ot-du-secteur-petrolier-et-gazier-en-2025/</guid>
      <description>&lt;h2 id=&#34;-contexte&#34;&gt;🗂️ Contexte&lt;/h2&gt;
&lt;p&gt;Source : Dragos Blog (&lt;a href=&#34;https://www.dragos.com/blog/oil-gas-cybersecurity-threats-2026)&#34;&gt;https://www.dragos.com/blog/oil-gas-cybersecurity-threats-2026)&lt;/a&gt;, publié le 16 avril 2026. Cet article s&amp;rsquo;appuie sur le &lt;strong&gt;2026 Dragos OT/ICS Cybersecurity Year in Review&lt;/strong&gt;, qui synthétise les observations de la Dragos Intelligence Fabric sur les menaces ayant ciblé le secteur pétrolier et gazier en 2025.&lt;/p&gt;
&lt;h2 id=&#34;-acteurs-de-la-menace&#34;&gt;🎯 Acteurs de la menace&lt;/h2&gt;
&lt;p&gt;&lt;strong&gt;VOLTZITE&lt;/strong&gt; a été élevé au statut de &lt;strong&gt;groupe de menace Stage 2&lt;/strong&gt; après avoir été observé à l&amp;rsquo;intérieur de réseaux victimes. Il a compromis des &lt;strong&gt;passerelles cellulaires&lt;/strong&gt; (notamment des équipements Sierra Wireless) dans des opérations midstream américaines, s&amp;rsquo;étendant aux environnements upstream et downstream. Une fois à l&amp;rsquo;intérieur, VOLTZITE a pivoté vers des &lt;strong&gt;postes de travail d&amp;rsquo;ingénierie&lt;/strong&gt;, manipulé des logiciels pour extraire des &lt;strong&gt;fichiers de configuration et des données d&amp;rsquo;alarme&lt;/strong&gt;, permettant d&amp;rsquo;identifier les conditions déclenchant l&amp;rsquo;arrêt des processus opérationnels.&lt;/p&gt;</description>
    </item>
    <item>
      <title>ZionSiphon : malware OT ciblant les infrastructures d&#39;eau israéliennes analysé par Darktrace</title>
      <link>https://cyberveille.ch/posts/2026-04-16-zionsiphon-malware-ot-ciblant-les-infrastructures-d-eau-israeliennes-analyse-par-darktrace/</link>
      <pubDate>Thu, 16 Apr 2026 00:00:00 +0000</pubDate>
      <guid>https://cyberveille.ch/posts/2026-04-16-zionsiphon-malware-ot-ciblant-les-infrastructures-d-eau-israeliennes-analyse-par-darktrace/</guid>
      <description>&lt;h2 id=&#34;-contexte&#34;&gt;🔍 Contexte&lt;/h2&gt;
&lt;p&gt;Darktrace a publié le 16 avril 2026 une analyse technique détaillée d&amp;rsquo;un échantillon de malware se désignant lui-même comme &lt;strong&gt;ZionSiphon&lt;/strong&gt;. L&amp;rsquo;analyse a été conduite par Calum Hall (Cyber Analyst). Le hash VirusTotal de l&amp;rsquo;échantillon est disponible publiquement.&lt;/p&gt;
&lt;h2 id=&#34;-ciblage-et-motivations&#34;&gt;🎯 Ciblage et motivations&lt;/h2&gt;
&lt;p&gt;Le malware présente un &lt;strong&gt;ciblage géographique explicitement orienté vers Israël&lt;/strong&gt;, avec des plages IPv4 hardcodées correspondant à des blocs d&amp;rsquo;adresses israéliens :&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;&lt;code&gt;2.52.0.0 - 2.55.255.255&lt;/code&gt;&lt;/li&gt;
&lt;li&gt;&lt;code&gt;79.176.0.0 - 79.191.255.255&lt;/code&gt;&lt;/li&gt;
&lt;li&gt;&lt;code&gt;212.150.0.0 - 212.150.255.255&lt;/code&gt;&lt;/li&gt;
&lt;/ul&gt;
&lt;p&gt;Deux chaînes encodées en Base64 révèlent des &lt;strong&gt;motivations idéologiques pro-Iran/Palestine/Yémen&lt;/strong&gt; et une intention déclarée d&amp;rsquo;empoisonner les populations de Tel Aviv et Haïfa. L&amp;rsquo;auteur se désigne sous le pseudonyme &lt;strong&gt;&amp;ldquo;0xICS&amp;rdquo;&lt;/strong&gt;.&lt;/p&gt;</description>
    </item>
    <item>
      <title>Des hackers pro-russes tentent de compromettre une centrale thermique en Suède</title>
      <link>https://cyberveille.ch/posts/2026-04-15-des-hackers-pro-russes-tentent-de-compromettre-une-centrale-thermique-en-suede/</link>
      <pubDate>Wed, 15 Apr 2026 00:00:00 +0000</pubDate>
      <guid>https://cyberveille.ch/posts/2026-04-15-des-hackers-pro-russes-tentent-de-compromettre-une-centrale-thermique-en-suede/</guid>
      <description>&lt;h2 id=&#34;-contexte&#34;&gt;🗓️ Contexte&lt;/h2&gt;
&lt;p&gt;Source : The Record Media, publié le 15 avril 2026. L&amp;rsquo;information est rapportée lors d&amp;rsquo;une conférence de presse à Stockholm par Carl-Oskar Bohlin, ministre suédois de la défense civile, en référence à un incident survenu au &lt;strong&gt;printemps 2025&lt;/strong&gt;.&lt;/p&gt;
&lt;h2 id=&#34;-incident&#34;&gt;🎯 Incident&lt;/h2&gt;
&lt;p&gt;Un groupe de hackers &lt;strong&gt;suspecté d&amp;rsquo;être pro-russe&lt;/strong&gt; a tenté de &lt;strong&gt;perturber les opérations d&amp;rsquo;une centrale thermique&lt;/strong&gt; située dans l&amp;rsquo;ouest de la Suède. La tentative d&amp;rsquo;intrusion a échoué grâce aux &lt;strong&gt;protections de sécurité intégrées&lt;/strong&gt; de l&amp;rsquo;installation. Le nom de la centrale n&amp;rsquo;a pas été divulgué.&lt;/p&gt;</description>
    </item>
    <item>
      <title>Des hackers revendiquent l&#39;accès aux pompes anti-inondation de la Place Saint-Marc à Venise</title>
      <link>https://cyberveille.ch/posts/2026-04-12-des-hackers-revendiquent-l-acces-aux-pompes-anti-inondation-de-la-place-saint-marc-a-venise/</link>
      <pubDate>Sun, 12 Apr 2026 00:00:00 +0000</pubDate>
      <guid>https://cyberveille.ch/posts/2026-04-12-des-hackers-revendiquent-l-acces-aux-pompes-anti-inondation-de-la-place-saint-marc-a-venise/</guid>
      <description>&lt;p&gt;📰 &lt;strong&gt;Source&lt;/strong&gt; : SecurityAffairs (Pierluigi Paganini) — &lt;strong&gt;Date de publication&lt;/strong&gt; : 12 avril 2026. L&amp;rsquo;article rapporte une intrusion revendiquée contre le système de pompes anti-inondation protégeant la &lt;strong&gt;Piazza San Marco&lt;/strong&gt; à Venise, infrastructure critique relevant du &lt;strong&gt;Ministère italien des Infrastructures et des Transports&lt;/strong&gt;.&lt;/p&gt;
&lt;p&gt;🎯 &lt;strong&gt;Nature de l&amp;rsquo;incident&lt;/strong&gt;
Le groupe, opérant sous les noms &lt;strong&gt;« Infrastructure Destruction Squad »&lt;/strong&gt; et &lt;strong&gt;« Dark Engine »&lt;/strong&gt;, affirme avoir obtenu un &lt;strong&gt;accès administratif&lt;/strong&gt; au système de contrôle hydraulique. L&amp;rsquo;intrusion aurait débuté &lt;strong&gt;fin mars 2026&lt;/strong&gt;, avec une publication de preuves (captures d&amp;rsquo;écran de panneaux de contrôle, schémas système, états des vannes) début avril 2026. Le groupe a annoncé la compromission via son &lt;strong&gt;canal Telegram&lt;/strong&gt;, dans un message rédigé en &lt;strong&gt;langue chinoise&lt;/strong&gt;.&lt;/p&gt;</description>
    </item>
    <item>
      <title>Des acteurs APT iraniens exploitent des automates Rockwell dans des infrastructures critiques US</title>
      <link>https://cyberveille.ch/posts/2026-04-11-des-acteurs-apt-iraniens-exploitent-des-automates-rockwell-dans-des-infrastructures-critiques-us/</link>
      <pubDate>Sat, 11 Apr 2026 00:00:00 +0000</pubDate>
      <guid>https://cyberveille.ch/posts/2026-04-11-des-acteurs-apt-iraniens-exploitent-des-automates-rockwell-dans-des-infrastructures-critiques-us/</guid>
      <description>&lt;h2 id=&#34;-contexte&#34;&gt;🏛️ Contexte&lt;/h2&gt;
&lt;p&gt;Ce document est un &lt;strong&gt;avis conjoint de cybersécurité (AA26-097A)&lt;/strong&gt; publié le 7 avril 2026 par le FBI, la CISA, la NSA, l&amp;rsquo;EPA, le DOE et le CNMF. Il alerte sur une campagne active d&amp;rsquo;exploitation d&amp;rsquo;automates programmables industriels (PLC) par des acteurs APT affiliés à l&amp;rsquo;Iran, ciblant des infrastructures critiques américaines.&lt;/p&gt;
&lt;h2 id=&#34;-acteurs-et-attribution&#34;&gt;🎯 Acteurs et attribution&lt;/h2&gt;
&lt;p&gt;Les agences attribuent cette activité à un &lt;strong&gt;groupe APT affilié à l&amp;rsquo;Iran&lt;/strong&gt;, distinct mais similaire aux &lt;strong&gt;CyberAv3ngers&lt;/strong&gt; (alias Shahid Kaveh Group, Hydro Kitten, Storm-0784, APT Iran, Bauxite, Mr. Soul, Soldiers of Solomon, UNC5691), eux-mêmes affiliés à l&amp;rsquo;&lt;strong&gt;IRGC Cyber Electronic Command (CEC)&lt;/strong&gt;. L&amp;rsquo;escalade des attaques est probablement liée aux hostilités entre l&amp;rsquo;Iran, les États-Unis et Israël.&lt;/p&gt;</description>
    </item>
    <item>
      <title>Attaque ransomware contre la station de traitement d&#39;eau de Minot, Dakota du Nord</title>
      <link>https://cyberveille.ch/posts/2026-04-02-attaque-ransomware-contre-la-station-de-traitement-d-eau-de-minot-dakota-du-nord/</link>
      <pubDate>Thu, 02 Apr 2026 00:00:00 +0000</pubDate>
      <guid>https://cyberveille.ch/posts/2026-04-02-attaque-ransomware-contre-la-station-de-traitement-d-eau-de-minot-dakota-du-nord/</guid>
      <description>&lt;h2 id=&#34;-contexte&#34;&gt;🗞️ Contexte&lt;/h2&gt;
&lt;p&gt;Source : KXNET (presse locale), publiée le 2 avril 2026. L&amp;rsquo;article rapporte un incident de cybersécurité survenu à la station de traitement d&amp;rsquo;eau de la ville de Minot, dans le Dakota du Nord (États-Unis).&lt;/p&gt;
&lt;h2 id=&#34;-déroulement-de-lincident&#34;&gt;🔍 Déroulement de l&amp;rsquo;incident&lt;/h2&gt;
&lt;p&gt;Le &lt;strong&gt;14 mars 2026&lt;/strong&gt;, des employés de la ville ont découvert une &lt;strong&gt;note de ransomware&lt;/strong&gt; sur un serveur de la station de traitement d&amp;rsquo;eau. La note indiquait que l&amp;rsquo;auteur avait obtenu un accès au système et conseillait à la ville de « renforcer ses pare-feux ».&lt;/p&gt;</description>
    </item>
    <item>
      <title>Ransomware dans le secteur énergétique : 187 attaques confirmées en 2025, analyse globale</title>
      <link>https://cyberveille.ch/posts/2026-03-26-ransomware-dans-le-secteur-energetique-187-attaques-confirmees-en-2025-analyse-globale/</link>
      <pubDate>Thu, 26 Mar 2026 00:00:00 +0000</pubDate>
      <guid>https://cyberveille.ch/posts/2026-03-26-ransomware-dans-le-secteur-energetique-187-attaques-confirmees-en-2025-analyse-globale/</guid>
      <description>&lt;h2 id=&#34;-contexte&#34;&gt;🌐 Contexte&lt;/h2&gt;
&lt;p&gt;Source : Cyble (cyble.com), publié le 26 mars 2026. Ce rapport couvre la période &lt;strong&gt;juillet 2024 – juin 2025&lt;/strong&gt; et analyse la menace ransomware pesant sur le &lt;strong&gt;secteur de l&amp;rsquo;énergie et des utilities&lt;/strong&gt; à l&amp;rsquo;échelle mondiale.&lt;/p&gt;
&lt;h2 id=&#34;-chiffres-clés&#34;&gt;📊 Chiffres clés&lt;/h2&gt;
&lt;p&gt;Sur la période analysée, le secteur énergétique a enregistré :&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;&lt;strong&gt;187 attaques ransomware&lt;/strong&gt; confirmées&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;57 événements de fuite ou violation de données&lt;/strong&gt;&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;37 incidents&lt;/strong&gt; de vente d&amp;rsquo;accès réseau compromis sur des forums criminels&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;Plus de 39 000 posts hacktivistes&lt;/strong&gt; ciblant les infrastructures énergétiques&lt;/li&gt;
&lt;/ul&gt;
&lt;h2 id=&#34;-groupes-ransomware-les-plus-actifs&#34;&gt;🎯 Groupes ransomware les plus actifs&lt;/h2&gt;
&lt;ul&gt;
&lt;li&gt;&lt;strong&gt;RansomHub&lt;/strong&gt; : 24 incidents (12,8 %)&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;Akira&lt;/strong&gt; : 20 incidents (10,7 %)&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;Play&lt;/strong&gt; : 18 incidents (9,6 %)&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;Qilin&lt;/strong&gt; et &lt;strong&gt;Hunters/Lynx&lt;/strong&gt; complètent le top 5, responsables collectivement de près de &lt;strong&gt;50 % des incidents&lt;/strong&gt;&lt;/li&gt;
&lt;/ul&gt;
&lt;h2 id=&#34;-distribution-géographique&#34;&gt;🗺️ Distribution géographique&lt;/h2&gt;
&lt;p&gt;&lt;strong&gt;L&amp;rsquo;Amérique du Nord&lt;/strong&gt; concentre plus d&amp;rsquo;un tiers des attaques ransomware. &lt;strong&gt;L&amp;rsquo;Asie&lt;/strong&gt; et &lt;strong&gt;l&amp;rsquo;Europe&lt;/strong&gt; absorbent également des parts significatives des ventes d&amp;rsquo;accès compromis et des violations de données.&lt;/p&gt;</description>
    </item>
    <item>
      <title>Italie: le rapport 2026 de l’intelligence alerte sur l’escalade des menaces cyber (APT, 0‑day, OT/SCADA) et co‑attribue « Salt Typhoon » à la Chine</title>
      <link>https://cyberveille.ch/posts/2026-03-08-italie-le-rapport-2026-de-lintelligence-alerte-sur-lescalade-des-menaces-cyber-apt-0-day-ot-scada-et-co-attribue-salt-typhoon-a-la-chine/</link>
      <pubDate>Sun, 08 Mar 2026 00:00:00 +0000</pubDate>
      <guid>https://cyberveille.ch/posts/2026-03-08-italie-le-rapport-2026-de-lintelligence-alerte-sur-lescalade-des-menaces-cyber-apt-0-day-ot-scada-et-co-attribue-salt-typhoon-a-la-chine/</guid>
      <description>&lt;p&gt;Source et contexte — Sicurezza Nazionale (Relazione annuale 2026 de l’intelligence italienne). Document de référence sur la politique d’information pour la sécurité, il couvre l’année 2025 et propose des scénarios prospectifs.&lt;/p&gt;
&lt;p&gt;• Menace principale et cibles&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;&lt;strong&gt;Espionnage APT de matrice étatique&lt;/strong&gt;: activité « constante » de groupes hautement spécialisés, recevant orientations et soutien financier d’appareils gouvernementaux étrangers, focalisés sur &lt;strong&gt;secteurs stratégiques&lt;/strong&gt; (notamment &lt;strong&gt;aérospatial&lt;/strong&gt;, &lt;strong&gt;infrastructures digitales/ICT&lt;/strong&gt;) et sur les &lt;strong&gt;ministères/administrations centrales&lt;/strong&gt;.&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;Intérêt accru pour le secteur public&lt;/strong&gt;, y compris &lt;strong&gt;structures sanitaires&lt;/strong&gt; (vol de &lt;strong&gt;identités/identifiants&lt;/strong&gt; sur postes du personnel, revente sur deep/dark web et réutilisation pour d’autres intrusions).&lt;/li&gt;
&lt;li&gt;Dans le &lt;strong&gt;privé&lt;/strong&gt;, repli relatif des offensives mais pression persistante sur &lt;strong&gt;IT/Télécoms&lt;/strong&gt;, &lt;strong&gt;énergie&lt;/strong&gt; et &lt;strong&gt;banques&lt;/strong&gt;; exposition particulière des &lt;strong&gt;PME&lt;/strong&gt; prises de manière opportuniste pour étendre l’« anonymisation » des attaquants.&lt;/li&gt;
&lt;/ul&gt;
&lt;p&gt;• Techniques, infrastructures et impacts&lt;/p&gt;</description>
    </item>
    <item>
      <title>Pologne: Dragos attribue à ELECTRUM une attaque coordonnée contre des DER (déc. 2025)</title>
      <link>https://cyberveille.ch/posts/2026-01-30-pologne-dragos-attribue-a-electrum-une-attaque-coordonnee-contre-des-der-dec-2025/</link>
      <pubDate>Fri, 30 Jan 2026 00:00:00 +0000</pubDate>
      <guid>https://cyberveille.ch/posts/2026-01-30-pologne-dragos-attribue-a-electrum-une-attaque-coordonnee-contre-des-der-dec-2025/</guid>
      <description>&lt;p&gt;Source: Dragos (intelligence brief, mis à jour en janvier 2026). Contexte: Dragos participe à la réponse à incident sur un des sites affectés et attribue avec confiance modérée l’attaque au groupe ELECTRUM.&lt;/p&gt;
&lt;p&gt;• Le 29 décembre 2025, une attaque coordonnée a visé des systèmes de communication et de contrôle connectant des opérateurs de réseau à des ressources énergétiques distribuées (DER) en Pologne, notamment des centrales de cogénération (CHP) et des systèmes de dispatch d’éolien et de solaire. Il n’y a pas eu de coupures d’électricité, mais des accès OT critiques ont été obtenus et des équipements clés ont été détruits au-delà de toute réparation sur site.&lt;/p&gt;</description>
    </item>
    <item>
      <title>Royaume-Uni : cinq cyberincidents signalés par des fournisseurs d’eau depuis 2024, sans impact sur l’approvisionnement</title>
      <link>https://cyberveille.ch/posts/2025-11-06-royaume-uni-cinq-cyberincidents-signales-par-des-fournisseurs-deau-depuis-2024-sans-impact-sur-lapprovisionnement/</link>
      <pubDate>Thu, 06 Nov 2025 00:00:00 +0000</pubDate>
      <guid>https://cyberveille.ch/posts/2025-11-06-royaume-uni-cinq-cyberincidents-signales-par-des-fournisseurs-deau-depuis-2024-sans-impact-sur-lapprovisionnement/</guid>
      <description>&lt;p&gt;Source : The Record (Recorded Future News), article d’Alexander Martin (3 novembre 2025), s’appuyant sur des données du Drinking Water Inspectorate (DWI).&lt;/p&gt;
&lt;p&gt;🚰 Constat général — Le secteur de l’eau au Royaume-Uni a signalé &lt;strong&gt;cinq cyberattaques&lt;/strong&gt; depuis janvier 2024. Selon la DWI, aucune n’a compromis la &lt;strong&gt;sécurité de l’eau potable&lt;/strong&gt;, mais ces événements — un &lt;strong&gt;record sur deux ans&lt;/strong&gt; — s’inscrivent dans un contexte d’&lt;strong&gt;intensification de la menace&lt;/strong&gt; visant les &lt;strong&gt;infrastructures critiques&lt;/strong&gt;. Entre le 1er janvier 2024 et le 20 octobre 2025, la DWI a reçu &lt;strong&gt;15 rapports&lt;/strong&gt;, dont &lt;strong&gt;5 concernaient des incidents cyber&lt;/strong&gt; touchant des &lt;strong&gt;systèmes « hors périmètre NIS »&lt;/strong&gt;; les autres relevaient d’incidents opérationnels non-cyber.&lt;/p&gt;</description>
    </item>
    <item>
      <title>PST: des hackers pro‑russes auraient ouvert les vannes d’un barrage norvégien</title>
      <link>https://cyberveille.ch/posts/2025-08-15-pst-des-hackers-pro-russes-auraient-ouvert-les-vannes-dun-barrage-norvegien/</link>
      <pubDate>Fri, 15 Aug 2025 00:00:00 +0000</pubDate>
      <guid>https://cyberveille.ch/posts/2025-08-15-pst-des-hackers-pro-russes-auraient-ouvert-les-vannes-dun-barrage-norvegien/</guid>
      <description>&lt;p&gt;Selon politico.eu, le Service de sécurité de la police norvégienne (PST) soupçonne des hackers pro‑russes d’avoir saboté un barrage dans le sud‑ouest de la Norvège en avril, dans le cadre des opérations cyber liées à la guerre hybride.&lt;/p&gt;
&lt;p&gt;Le quotidien VG rapporte que les assaillants ont compromis le système de contrôle du barrage et ouvert des vannes pendant environ quatre heures, provoquant un important déversement d’eau avant que les vannes ne soient refermées. Le barrage se situe à Bremanger, à environ 150 km au nord de Bergen, et n’est pas utilisé pour la production d’énergie.&lt;/p&gt;</description>
    </item>
  </channel>
</rss>
