Vulnérabilité critique dans les systèmes industriels SCADA

Un bulletin d'alerte de l'ICS-CERT a mis à jour un bug critique touchant raffineries, centrales électriques et hydrauliques. La vulnérabilité de type stack overflow est liée aux logiciels d'Iconics.

Le gouvernement américain, via l'ICS-CERT, division de l'agence de lutte contre la cybercriminalité américaine (US-CERT) spécialisée dans la surveillance des systèmes industriels, a donné l'alerte.

Dans un bulletin de sécurité publié sur son site Web, l'agence a révélé une vulnérabilité critique dans plusieurs systèmes de gestion SCADA (Supervision, Control and Data Acquisition) utilisés par de nombreux opérateurs industriels tels que centrales électriques, hydrauliques ou encore raffineries, mais également de très nombreux sites industriels tiers.

Les systèmes SCADA permettent de superviser les communications entre automates, consolider les données et surveiller les états de fonctionnement de ces sites. Parmi eux, ce sont les logiciels Genesis32 et BizViz commercialisés par Iconics qui ont fait l'objet de la présente alerte du l'ICS-CERT. 55% des installations Genesis32 sont situées en Amériques, 45% en Europe et 5% en Asie.

Les logiciels Genesis32 et BizViz antérieures à la v9.22 doivent être impérativement mis à jour

En effet, une vulnérabilité liée à un bug de dépassement de pile (stack overflow) a été trouvée dans un contrôle ActiveX utilisé par ces programmes. Ce dernier présentant un risque potentiel élevé d'être exploité, qui plus est par des individus aux "compétences informatiques seulement moyennes" selon l'ICS-CERT.

S'étant montré très réactif, Iconics a publié un patch correctif pour combler la faille permettant à un utilisateur malveillant d'exécuter du code distant et prendre le contrôle du système informatique sur lequel le contrôle ActiveX est exécuté. De quelle façon ? En usant par exemple d'une technique de type social engineering pour convaincre un utilisateur sur lequel un des logiciels d'Iconics est installé, de se rendre sur un site Web piégé.

Les versions des logiciels Genesis32 et BizViz antérieures à la v9.22 demeurent quoi qu'il en soit toujours vulnérables et l'ICS-CERT préconise de mettre à jour ces systèmes informatiques dans les meilleurs délais. Mais l'agence de lutte contre la cybercriminalité américaine préconise aussi pour se prémunir d'attaques de ce type, d'isoler les terminaux critiques d'Internet et des réseaux locaux et de les placer derrière des pare-feux.

Le rapport de l'agence de lutte contre la cybercriminalité intervient moins de deux mois après de précédentes alertes relatives d'autres logiciels SCADA. Mais ce n'est pas la première fois que ces systèmes sont exposés au piratage.

L'été dernier, ceux de Siemens utilisés pour piloter les centrales nucléaires iraniennes, avaient été infecté par le virus Stuxnet, dont la paternité est attribuée selon les autorités locales aux Etats-Unis et à Israël et (depuis le mois dernier) à Siemens.

Virus / Faille