En 2010, le ver Stuxnet a jeté une lumière crue sur la sécurité des systèmes informatisés de contrôle des infrastructures industrielles, les Scada. Alors qu’ils étaient longtemps restés à l’écart des questions de sécurité, leur vulnérabilité est apparue au grand jour. Certains n’hésitant pas d’ailleurs à fustiger une absence de culture de la sécurité informatique chez les éditeurs de solutions de ce type. Des chercheurs ont décidé de prendre le taureau par les cornes.
A l’image de Luigi Auriemma dont le message publié sur le Bugtraq daté de ce lundi 21 mars, jette un beau pavé dans la mare. Décrivant les Scada comme les systèmes informatiques permettant de contrôler tout ce que le monde compte de systèmes industriels «plus ou moins critiques, de l’énergie aux infrastructures publiques», il souligne leur banalité : «ils sont comme tout autre logiciel que l’on peut utiliser au quotidien, avec leurs entrées et vulnérabilités : débordement de pile ou de tas, déborder de valeurs entières, exécution de commandes arbitraires, formatage de chaînes de caractères, corruptions de mémoire», etc. Non content de se livrer à cet inventaire à la Prévert, le chercheur met à disposition, sur son site Web, quelques dizaines de failles qu’il a découvertes dans des logiciels Scada signés Siemens, Iconics, 7-Technologies ou encore DATAC. Suivant la logique du Full Disclosure et poussant l’exercice jusqu’à proposer des exemples de code d’exploitation des failles. Interrogé par nos confrères du Register, Luigi Auriemma explique sa démarche : «les Scada constituent un domaine critique mais personne ne s’en préoccupe réellement.»
Un kit d’exploit russe
Mais Luigi Auriemma n’est pas le seul à s’inquiéter des menaces potentielles sur les Scada. La semaine passée, la société russe Gleg, qui se présente comme spécialiste de la sécurité des systèmes d’information, a lancé Agora SCADA+, «une tentative pour rassembler toutes les vulnérabilités Scada publiquement disponibles au sein d’ un unique kit d’exploitation ». Gleg ne précise pas les tarifs de son pack mais en vante lourdement les qualités : «les Scada et les vulnérabilités associées sont très particuliers en raison de leur nature sensible et de l’impact énorme d’une exploitation réussie. Les systèmes Scada sont en outre difficiles à patcher. Ainsi, les vieilles vulnérabilités restent actuelles.» Ce kit contient des bugs récents comme anciens, failles 0-day, etc. Une arme à double tranchant, peut-être même plus que l’initiative de Luigi Auriemma qui a, elle, le mérite d’être ouverte…
Egalement sur LeMagIT.fr
RSA Conference 2011 : Interrogations autour du concept de cyberguerre
Stuxnet met en lumière l’absence de culture de sécurité IT dans les SCADA
Scada : des dizaines de failles consolidées
Le 22 mars 2011 (15:50) - par Valery Marchive
Rubriques : Sécurité - Menaces informatiques Tags : securite - cyberguerre - scada - exploit - failles
Dans un climat très tourné vers les cyber-attaques et vers les vulnérabilités de Scada, des chercheurs en sécurité ont décidé de jouer la transparence et de livrer des dizaines de failles potentielles, habitant ces systèmes. Un pavé dans la mare qui laisse entrevoir une fragilité inquiétante pour ces architectures pourtant critiques.
livres blancs avec LesSourcesIT.fr
Sécuriser les terminaux mobiles des utilisateurs dans l’entreprise
Les appareils mobiles, tels que les smartphones et les tablettes tactiles, permettent à un nombre croissant d’employ…
La mise en place d’un programme de veille sécuritaire efficace au sein d’une organisation n’est pas à prendre à…
Les commentaires
Pertinence du commentaire : 
Par willyLe 24/03/2011 à 12:19
Très bien ! Au moins maintenant ils ne pourront plus jouer à la politique de l'autruche. En plus, on parle des failles de sécurité qui ne sont jamais corrigées, mais on ne parle même pas des bugs affectant la fiabilité des systèmes et qui ne sont pas plus corrigés. Qui sait combien de fois par semaine les consoles de contrôle d'un réacteur nucléaire affichent un écran bleu à cause de bugs dont les correctifs ne sont pas appliqués ? Combien de systèmes de centralisation et diffusion d'alertes ne fonctionnent que par intermittence à cause de plantages attendant un reboot manuel ? La sécurité est un tout, elle comprend aussi la disponibilité, et rien que pour ça ces systèmes auraient dû être patchés.
Noter ce commentaire
Toute l'actualité
Aujourd'hui 
Sur le même
sujet Du même
auteur
Sur le mêmesujet Du même
auteur
- 1.Cisco stoppe les développements de sa tablette Cius
- 2.Mike Lynch, ex patron d’Autonomy, quitte HP
- 3.Formation de spécialistes du cloud : un nouveau mastère à l'Isep
- 4.Le FBI se dote discrètement d’une unité de surveillance d’Internet
- 5.Mobiles : plus de 8 smartphones sur 10 sont sous Android ou iOS, selon IDC
- 6.Le système de vote en ligne des français expatriés handicapé par un bug Java
publicité
Les plus populaires
Les plus lus
Les mieux
notés
Les plus
commentés
Les mieux notés
Les plus commentés
- 1.Android domine un marché des smartphones en hausse de 45%
- 2.Le smartphone, outil de tous les débordements
- 3.Les programmes de sensibilisation à la sécurité informatique ont une vraie valeur
- 4.EMC World 2012 : EMC dévoile 42 nouveaux produits
- 5.Facebook fait son entrée en bourse dans la douleur
- 6.Messagerie de santé : l’Asip estime le Saas pas assez mature et opte pour l’Open Source
publicité
Les dossiers du MagIT
-
La sécurité se met résolument au «Big Data»…
La coopération est à la mode, en matière de sécurité. Les initiatives et les appels se… -
Tablettes, le temps des applications …
Les DSI peuvent-ils encore faire le gros dos face la multiplication des tablettes et autres terminaux… -
BPM : existe-t-il une place pour les pure-players ?…
Concentration des acteurs, mutation des modèles économiques, concentration du BPM dans les flux… -
La sécurité du Cloud, un défi aux multiples facettes …
À certains égards, le Cloud Computing, dans toutes ses variantes, n’est finalement qu’une option…
Les économies de stockage à travers une architecture unifiée
Beaucoup d’organisations ont fait le choix du stockage « unifié » à travers les systèmes Multiprotocol storage systems (MPS). Avec la croissance exponentielle du nombre de d…
Virtualisation : bénéfices, défis et solutions
Alors qu’il existe différentes voies en matière de virtualisation ce document se concentre sur 3 approches : serveurs, postes de travail et appliances. L’un des motifs de cet…
livres blancs avec LesSourcesIT.fr
Recevez les newsletters du MagIT
Sans frontière
Toute reproduction ou représentation intégrale ou partielle des pages publiées sur ce site, faite sans l'autorisation de l'éditeur est illicite et constitue une contrefaçon. LeMagIT s'engage à respecter la confidentialité des données personnelles conformément à la loi 78-17 du 6 janvier 1978. LeMagIT n'assume aucune responsabilité de type éditoriale sur les commentaires publiés sur ce site, la mise en ligne n'étant soumise à aucun contrôle à priori. La fréquentation de ce site est certifiée OJD.
Tous les services du MagIT sur