La CISA, le FBI et six autres agences fédérales américaines ont publié une alerte conjointe sur des cyberattaques actives contre des jauges automatiques de réservoirs de carburant. Aux États-Unis, elles sont souvent connectées à internet sans mot de passe.
Une jauge automatique de réservoir, ou ATG, mesure en temps réel le niveau de carburant, la température et les fuites dans les cuves souterraines. On en trouve dans les stations-service, les stations de camions, les marinas et les installations de générateurs de secours. Des milliers de ces équipements se retrouvent directement exposés sur internet, sur des protocoles hérités non sécurisés. Récemment, la CISA, le FBI, la NSA et cinq autres agences fédérales américaines ont publié une alerte conjointe sur des cyberattaques actives contre ces systèmes. Des attaquants ont obtenu un accès non autorisé à des ATG dans plusieurs stations-service à travers le pays.
Des attaquants modifient les affichages sans toucher au carburant
Les hackers ont exploité des systèmes ATG accessibles en ligne et dépourvus de mot de passe, modifiant dans certains cas les affichages de niveau de carburant sans altérer les quantités réelles dans les cuves. Dans d’autres cas, des informations sur les cuves et les capteurs ont été supprimées du système ATG.
Mais ce n'est pas parce qu'il n'y a aucun dégât physique immédiat qu'il n'y a pas de risque. Selon des experts privés et des responsables américains, l’accès à un ATG pourrait, en théorie, masquer une vraie fuite de carburant aux opérateurs. Un attaquant peut désactiver les alertes système. Les opérateurs perdent alors toute visibilité sur les anomalies, et les risques de danger environnemental ou physique augmentent en cas de fuite ou de défaillance de relais.
Les appareils les plus souvent ciblés sont les consoles Veeder-Root TLS-350 et TLS-450 Plus, les modèles ATG les plus répandus aux États-Unis, sur lesquels aucun mot de passe de protection réseau n’avait été configuré. Par ailleurs, le protocole de communication ATG intègre un champ pour un code à six chiffres censé restreindre l'accès externe, mais ce champ est optionnel et non activé par défaut. Quand des administrateurs l’activent, la limite de six chiffres ne représente qu’un million de combinaisons possibles, facilement testables par un ordinateur moderne dopé à l’intelligence artificielle.
Des failles connues depuis 2015 et toujours exploitées en 2026
Dès 2015, des chercheurs en sécurité avaient montré que des ATG pouvaient être piratés à distance, et des données de honeypots indiquaient déjà que ces appareils attiraient des attaquants. En octobre 2023, Bitsight TRACE avait identifié 11 vulnérabilités sur plusieurs modèles d’ATG, notamment des injections de commandes OS, des contournements d’authentification, des identifiants codés en dur et des injections SQL, chacune suffisante pour obtenir un contrôle administrateur complet. Malgré ces avertissements répétés, plus de 6 500 systèmes ATG restaient connectés à internet sans aucune protection de sécurité.
Huit agences fédérales américaines ont signé l’alerte ce 2 juin, dont la CISA, le FBI, la NSA, le département de l’Énergie, l’EPA, la TSA, le département des Transports et le département de l’Agriculture. « Nous travaillons avec nos partenaires gouvernementaux pour identifier, évaluer et répondre aux signalements d'activité malveillante ciblant les systèmes d'infrastructures critiques », a déclaré Nick Andersen, directeur par intérim de la CISA.
Les agences recommandent en priorité de retirer les ATG d’internet et de changer immédiatement les mots de passe par défaut, d’activer une authentification multifacteur résistante au hameçonnage et d’appliquer les correctifs disponibles auprès des prestataires certifiés. Un document interne des Gardiens de la révolution islamique datant de 2021, révélé par Sky News, désignait déjà les ATG comme cible potentielle pour une cyberattaque perturbatrice contre des stations-service américaines. Le gouvernement américain n’a toutefois pas attribué les attaques récentes à l’Iran ni à aucun autre groupe.
Source : Bleeping Computer
