De nombreux produits TO sont « de conception non sécurisés »

Les chercheurs des laboratoires Vedere de Forescout ont voulu montrer à quel point de nombreux systèmes de technologie opérationnelle (TO) connectés à Internet peuvent être peu sûrs. Ainsi, ils ont publié la semaine dernière une liste de 56 vulnérabilités découvertes dans les produits de neuf fabricants.

Image : Getty

Surnommées Icefall, les vulnérabilités sont présentes dans des applications telles que les automates programmables et les systèmes de contrôle distribués de grands fabricants tels qu’Emerson, Honeywell, Motorola et Siemens. Selon le rapport, bon nombre des produits concernés sont utilisés dans les secteurs du pétrole et du gaz, de la chimie, du nucléaire, de la production et de la distribution d’électricité, de la fabrication, du traitement et de la distribution de l’eau, de l’exploitation minière et de l’automatisation des bâtiments.

« Beaucoup de ces produits sont vendus comme étant “de conception sécurisée” ou ont été certifiés selon les normes de sécurité TO », indique un rapport technique détaillé . La réalité, selon le rapport, est que de nombreux produits sont « de conception non sécurisée ».

Un attaquant capable d’exploiter les vulnérabilités pourrait contourner l’authentification, puis manipuler les points de consigne et les valeurs de surveillance relatifs aux stations de compression d’un distributeur de gaz naturel et inonder les opérateurs de fausses alarmes ou modifier les points de consigne de débit pour perturber le transport, indique le rapport dans un scénario d’attaque possible.

Les chercheurs regroupent les vulnérabilités en cinq grandes catégories :

  • Exécution de code à distance (RCE) : Permet à un attaquant d’exécuter du code arbitraire sur le périphérique impacté, mais le code peut être exécuté dans différents processeurs spécialisés et différents contextes au sein d’un processeur, de sorte qu’un RCE ne signifie pas toujours le contrôle total d’un périphérique. Ceci est généralement réalisé via des fonctions de mise à jour de micrologiciel/logique non sécurisées qui permettent à l’attaquant de fournir du code arbitraire.
  • Déni de service (DoS) : Permet à un attaquant de mettre un appareil complètement hors ligne ou d’empêcher l’accès à certaines fonctions.
  • Manipulation de fichier/micrologiciel/configuration : Permet à un attaquant de modifier des aspects importants d’un appareil, tels que les fichiers qui y sont stockés, le micrologiciel qui s’y exécute ou ses configurations spécifiques. Ceci est généralement réalisé via des fonctions critiques dépourvues d’authentification/autorisation ou de la vérification d’intégrité appropriées qui empêcheraient les attaquants de falsifier l’appareil.
  • Compromission des informations d’identification : Permet à un attaquant d’obtenir des informations d’identification pour les fonctions de l’appareil, généralement parce qu’elles sont stockées ou transmises de manière non sécurisée.
  • Contournement de l’authentification : Permet à un attaquant de contourner les fonctions d’authentification existantes et d’invoquer la fonctionnalité souhaitée sur l’appareil cible.

Plus du tiers de ces vulnérabilités (38 %) permettent de compromettre les informations d’identification, indique le rapport, la manipulation du micrologiciel venant en deuxième (21 %) et l’exécution de code à distance en troisième (14 %).

Pour plus de détails, l’article original (en anglais) est disponible sur le site IT World Canada, une publication sœur de Direction informatique.

Lire aussi :

Des entreprises canadiennes devront signaler les cyberattaques en vertu de la loi proposée

LockBit menace de publier les données de Mandiant qui dit n’avoir aucune preuve de leur vol

Il faut aider les petites entreprises et les organismes à but non lucratif

Traduction et adaptation française par Renaud Larue-Langlois.

Howard Solomon
Howard Solomon
Actuellement rédacteur pigiste, Howard est l'ancien rédacteur en chef de ITWorldCanada.com et de Computing Canada. Journaliste informatique depuis 1997, il a écrit pour plusieurs publications sœurs d'ITWC, notamment ITBusiness.ca et Computer Dealer News. Avant cela, il était journaliste au Calgary Herald et au Brampton Daily Times en Ontario. Il peut être contacté à [email protected]

Articles connexes

La NSA exhorte les développeurs à passer à des langages à mémoire sécurisée

Les développeurs d'applications peuvent réduire les chances que leur code comporte des vulnérabilités de mémoire en passant à un langage moderne, déclare la National Security Agency (NSA) des États-Unis.

Détecter les intrusions avant une attaque

Par Avi Posesorsky, directeur des ventes chez Fortinet Avec leurs...

Google Cloud annonce de nouvelles solutions de sécurité

Google Cloud élargit son offre de cybersécurité et place sa récente acquisition de la société de cybersécurité Mandiant au premier plan de ses annonces de sécurité lors de la conférence Google Cloud Next 2022.

BRP victime d’une cyberattaque

On apprend ce matin que le fabricant de produits récréatifs BRP de Valcourt est actuellement la cible d’une « activité malveillante en matière de sécurité », tel que décrit par la société dans un communiqué.

PrestaShop exhorte les administrateurs à mettre à jour l’application

Les administrateurs de sites de commerce électronique utilisant la plate-forme open-source PrestaShop ont été avisés de mettre à jour l'application immédiatement pour éliminer de graves vulnérabilités.