Cyberattaques sur les stations-service : une menace invisible à surveiller

Les autorités alertent sur des cyberattaques visant les systèmes de jaugeage automatique des réservoirs de carburant

Au début du mois de juin 2026, plusieurs agences fédérales américaines, dont la CISA, le FBI et la NSA, ont publié une alerte commune. Elles mettent en garde contre une augmentation des activités malveillantes ciblant les systèmes de jaugeage automatique des réservoirs de carburant, appelés aussi ATG. Ces systèmes, souvent peu visibles, peuvent être exploités pour perturber l’approvisionnement en carburant, que ce soit dans les stations-service ou dans des dépôts industriels.

Les experts expliquent que ces équipements, qui surveillent en continu le niveau de carburant dans les cuves, sont parfois connectés directement à Internet. Certains sont laissés sans protection ou protégés par des codes très faciles à deviner. Des études ont montré que des hackers pouvaient à distance prendre le contrôle de ces systèmes, en modifier les données ou bloquer leur fonctionnement. La vulnérabilité n’est pas nouvelle : dès 2015, des chercheurs avaient démontré la possibilité de pirater ces dispositifs à distance.

Comment fonctionnent les systèmes de jaugeage automatiques ?

Les ATG sont équipés de capteurs qui mesurent en permanence le volume de carburant, sa température et détectent d’éventuelles fuites. Ces données sont ensuite transmises à un logiciel de supervision, permettant de suivre la situation à distance. Ces systèmes sont omniprésents dans le secteur de l’énergie, de l’agriculture ou encore des transports, car ils évitent d’avoir à se déplacer pour vérifier chaque cuve.

Le problème réside dans le fait que beaucoup de ces équipements sont accessibles via Internet, souvent sans protection ou avec des mots de passe faibles. Selon une étude de 2023, plus de 6 500 systèmes, notamment les modèles Veeder-Root TLS-350 et TLS-450 Plus, restent exposés en ligne. Des hackers ont déjà réussi à prendre le contrôle de certains, en modifiant les données ou en effaçant des informations importantes.

Les risques liés aux cyberattaques sur les réservoirs de carburant

Une intrusion dans un ATG donne aux hackers un pouvoir considérable. Ils peuvent faire apparaître des niveaux de carburant incorrects, par exemple en faisant croire qu’une cuve est vide alors qu’elle est encore pleine, ou l’inverse. Ils peuvent aussi supprimer des données, bloquer la distribution de carburant à distance, ou désactiver des alarmes. Ces manipulations peuvent entraîner des pénuries d’essence, des interruptions dans la chaîne d’approvisionnement, voire des dégâts environnementaux importants, comme des fuites ou des incendies.

Les agences américaines recommandent plusieurs mesures pour renforcer la sécurité de ces systèmes. Il est conseillé de couper l’accès direct à Internet, d’utiliser des pare-feux ou un VPN, de changer tous les mots de passe par défaut, d’installer rapidement les mises à jour logicielles, et d’activer une authentification multifacteur pour les accès sensibles. La sécurisation de ces équipements est essentielle pour éviter des perturbations majeures, en France comme ailleurs, avant que le problème ne devienne visible au moment de faire le plein.