Skip to content
CBCyber Breaches
Recherche
EspionnageContenu

Cyberattaque liée à l'Iran contre LA Metro (LACMTA) (2026)

Des pirates liés à l'Iran ont compromis l'agence de transport LA Metro en mars 2026, dérobant au moins 700 Go de données internes et perturbant l'information voyageurs et la billettique TAP.

Victime
Los Angeles County Metropolitan Transportation Authority
SecteurTransportGouvernement
PaysÉtats-Unis
GroupeBlack ShadowAbabil of Minab

À la mi-mars 2026, la Los Angeles County Metropolitan Transportation Authority (LA Metro) — l'agence publique qui exploite les services ferroviaires et de bus du comté de Los Angeles — a été victime d'une intrusion qui a mis une partie de son réseau hors ligne et dont la remise en état a pris plusieurs semaines. Une entité pro-iranienne se faisant appeler « Ababil of Minab » a revendiqué l'attaque, affirmant avoir volé puis supprimé des données des systèmes de l'agence. Des chercheurs israéliens ont depuis relié l'opération au ministère iranien du Renseignement et de la Sécurité.

Ce qui s'est passé

La compromission a perturbé plusieurs systèmes destinés aux usagers, dont l'affichage des horaires en temps réel et le rechargement des cartes TAP, même si trains et bus ont continué de fonctionner normalement. Les chercheurs ont indiqué par la suite que les attaquants avaient atteint des afficheurs opérationnels au sein de l'environnement de l'agence, et qu'au moins 700 Go d'e-mails, de sauvegardes et de fichiers internes avaient été exfiltrés — des données ensuite retrouvées exposées en ligne par inadvertance.

Fin mai et début juin 2026, la société israélienne de cybersécurité Gambit a publié une analyse forensique concluant qu'« Ababil of Minab » n'était vraisemblablement pas un véritable collectif hacktiviste autonome. Gambit a estimé que l'infrastructure et les méthodes employées reliaient l'intrusion à Black Shadow, un groupe que la Direction nationale israélienne de la cybersécurité attribue au ministère iranien du Renseignement et de la Sécurité (MOIS). Gambit a rattaché ce même acteur à une campagne plus large visant des réseaux de transport et d'autres organisations aux États-Unis et au Moyen-Orient.

Pourquoi c'est important

L'incident illustre la manière dont des opérateurs pro-iraniens ciblent de plus en plus les infrastructures critiques américaines, mêlant des revendications de style hacktiviste à une activité dirigée par un État. Los Angeles est l'une des villes hôtes de la Coupe du monde de la FIFA 2026, ce qui renforce l'enjeu de résilience de son réseau de transport. Si trains et bus ont continué de rouler, la perturbation des systèmes d'information voyageurs et de billettique — conjuguée à l'exfiltration de centaines de gigaoctets de données internes — montre comment l'informatique de back-office et de relation usager d'une agence de transport peut être dégradée sans jamais toucher aux trains eux-mêmes.

Chronologie

  1. L'intrusion dans le réseau de la LACMTA est détectée ; une partie des systèmes de transport public de Los Angeles est mise hors ligne.

  2. Des services destinés aux voyageurs — dont l'affichage des horaires en temps réel et le rechargement des cartes TAP — sont perturbés, tandis que trains et bus continuent de circuler. Une entité se présentant comme « Ababil of Minab » affirme avoir volé puis supprimé des données.

  3. Des articles relient la compromission à des opérateurs iraniens après la découverte en ligne d'au moins 700 Go d'e-mails, de sauvegardes et de fichiers internes exposés par inadvertance.

  4. La société de sécurité israélienne Gambit attribue l'opération à Black Shadow — groupe que la Direction nationale israélienne de la cybersécurité relie au ministère iranien du Renseignement et de la Sécurité — qualifiant « Ababil of Minab » de façade.

Sources

  1. techcrunch.comhttps://techcrunch.com/2026/05/26/iranian-hackers-blamed-for-breach-of-los-angeles-transit-system-that-took-weeks-to-recover/
  2. nbcnews.comhttps://www.nbcnews.com/tech/security/iranian-hackers-responsible-los-angeles-transit-system-breach-israeli-rcna346881
  3. cybersecuritydive.comhttps://www.cybersecuritydive.com/news/iranian-government-not-hacktivist-group-breached-la-metro-system-securit/821112/
  4. jpost.comhttps://www.jpost.com/middle-east/iran-news/article-897739
  5. industrialcyber.cohttps://industrialcyber.co/industrial-cyber-attacks/gambit-links-iran-linked-black-shadow-group-to-destructive-cyber-campaign-targeting-us-middle-east-organizations/
  6. thenextweb.comhttps://thenextweb.com/news/iran-hackers-la-metro-breach-gambit-security

Incidents liés

EspionnageContenu

Campagne d'espionnage Salt Typhoon contre les télécoms américains (2024)

Salt Typhoon, lié à la Chine, a infiltré au moins neuf opérateurs télécoms américains — Verizon, AT&T, T-Mobile, Spectrum, Lumen, Consolidated, Windstream — y compris les systèmes CALEA d'interception légale utilisés pour les écoutes autorisées par la justice. Les métadonnées de plus d'un million d'utilisateurs ont été exposées ; le Trésor américain a sanctionné un sous-traitant chinois lié.

Victim
Opérateurs de télécommunications américains (Verizon, AT&T, T-Mobile, Spectrum, Lumen, Consolidated Communications, Windstream)
EspionnageContenu

Vol de clé de signature Microsoft par Storm-0558 et accès aux courriels du gouvernement américain (2023)

Storm-0558, basé en Chine, a falsifié des jetons d'authentification à l'aide d'une clé de signature grand public Microsoft volée et a lu les courriels d'environ 25 organisations — dont le Département d'État américain, le Département du Commerce et l'ambassadeur des États-Unis en Chine. La « cascade d'erreurs » qui l'a rendu possible est devenue un cas emblématique de la garde des clés par les fournisseurs cloud.

Victim
Clients Microsoft (Département d'État américain, Département du Commerce, ~25 organisations)
RançongicielEn cours

Fuite chez Organisme pour la Sécurité de l’Aviation Civile

En février 2026, le groupe d'extorsion LAPSUS$ a revendiqué le vol d'environ 420 Go de données de l'OSAC (Organisme pour la Sécurité de l'Aviation Civile), dont cartes d'identité, passeports, diplômes, justificatifs de domicile et documents internes ; les données ont ensuite été intégralement diffusées.

Victim
Organisme pour la Sécurité de l’Aviation Civile
EspionnageContenu

Attaque contre le réseau électrique ukrainien — Sandworm BlackEnergy (2015)

Le groupe Sandworm, lié à la Russie, a utilisé l'hameçonnage ciblé, BlackEnergy3 et KillDisk pour actionner à distance les disjoncteurs de trois distributeurs régionaux d'électricité ukrainiens, coupant l'électricité d'environ 230 000 clients pendant 1 à 6 heures. Il s'agit de la première cyberattaque réussie publiquement reconnue contre un réseau électrique de l'histoire.

Victim
Distributeurs régionaux d'électricité ukrainiens (oblenergos)