Les chercheurs des laboratoires Vedere de Forescout ont voulu montrer à quel point de nombreux systèmes de technologie opérationnelle (TO) connectés à Internet peuvent être peu sûrs. Ainsi, ils ont publié la semaine dernière une liste de 56 vulnérabilités découvertes dans les produits de neuf fabricants.
Surnommées Icefall, les vulnérabilités sont présentes dans des applications telles que les automates programmables et les systèmes de contrôle distribués de grands fabricants tels qu’Emerson, Honeywell, Motorola et Siemens. Selon le rapport, bon nombre des produits concernés sont utilisés dans les secteurs du pétrole et du gaz, de la chimie, du nucléaire, de la production et de la distribution d’électricité, de la fabrication, du traitement et de la distribution de l’eau, de l’exploitation minière et de l’automatisation des bâtiments.
« Beaucoup de ces produits sont vendus comme étant “de conception sécurisée” ou ont été certifiés selon les normes de sécurité TO », indique un rapport technique détaillé . La réalité, selon le rapport, est que de nombreux produits sont « de conception non sécurisée ».
Un attaquant capable d’exploiter les vulnérabilités pourrait contourner l’authentification, puis manipuler les points de consigne et les valeurs de surveillance relatifs aux stations de compression d’un distributeur de gaz naturel et inonder les opérateurs de fausses alarmes ou modifier les points de consigne de débit pour perturber le transport, indique le rapport dans un scénario d’attaque possible.
Les chercheurs regroupent les vulnérabilités en cinq grandes catégories :
- Exécution de code à distance (RCE) : Permet à un attaquant d’exécuter du code arbitraire sur le périphérique impacté, mais le code peut être exécuté dans différents processeurs spécialisés et différents contextes au sein d’un processeur, de sorte qu’un RCE ne signifie pas toujours le contrôle total d’un périphérique. Ceci est généralement réalisé via des fonctions de mise à jour de micrologiciel/logique non sécurisées qui permettent à l’attaquant de fournir du code arbitraire.
- Déni de service (DoS) : Permet à un attaquant de mettre un appareil complètement hors ligne ou d’empêcher l’accès à certaines fonctions.
- Manipulation de fichier/micrologiciel/configuration : Permet à un attaquant de modifier des aspects importants d’un appareil, tels que les fichiers qui y sont stockés, le micrologiciel qui s’y exécute ou ses configurations spécifiques. Ceci est généralement réalisé via des fonctions critiques dépourvues d’authentification/autorisation ou de la vérification d’intégrité appropriées qui empêcheraient les attaquants de falsifier l’appareil.
- Compromission des informations d’identification : Permet à un attaquant d’obtenir des informations d’identification pour les fonctions de l’appareil, généralement parce qu’elles sont stockées ou transmises de manière non sécurisée.
- Contournement de l’authentification : Permet à un attaquant de contourner les fonctions d’authentification existantes et d’invoquer la fonctionnalité souhaitée sur l’appareil cible.
Plus du tiers de ces vulnérabilités (38 %) permettent de compromettre les informations d’identification, indique le rapport, la manipulation du micrologiciel venant en deuxième (21 %) et l’exécution de code à distance en troisième (14 %).
Lire aussi :
Des entreprises canadiennes devront signaler les cyberattaques en vertu de la loi proposée
LockBit menace de publier les données de Mandiant qui dit n’avoir aucune preuve de leur vol
Il faut aider les petites entreprises et les organismes à but non lucratif
Traduction et adaptation française par Renaud Larue-Langlois.
