Par Orianne Vatin le 19/09/2011
Un chercheur italien a découvert des vulnérabilités zero-day dans les produits SCADA de plusieurs vendeurs. De quoi fragiliser à nouveau la confiance dans la sécurité des infrastructures critiques (les systèmes SCADA sont utilisés dans des endroits très sensibles : centrales nucléaires, traitement des eaux, etc.).
Luigi Auriemma avait déjà révélé des défaillances de ce type en mars, à propos d'autres produits SCADA.
Les failles qu'il vient de découvrir affectent les produits SCADA de six vendeurs, dont Rockwell Automation, Cogent Datahub, Measuresoft et Progea. Toutes ces vulnérabilités permettent l'exécution de code à distance, sauf une qui ouvre la porte à des attaques par déni-de-service.
Pire, selon le chercheur, certaines seraient très faciles à exploiter. Ainsi, l'une d'entre elles ne nécessite que la saisie de la commande à exécuter à distance.
L'expert italien précise que trois vendeurs sur les six concernés ont déjà publié des correctifs, tandis que Rockwell serait en train de travailler à l'élaboration d'un patch pour ses produits.
Toutes les vulnérabilités découvertes par Auriemma existent dans les systèmes Human Machine Interface, utilisés pour administrer les systèmes de contrôles industriels, d'après un autre expert.