Des chercheurs ont encore découvert de nouvelles vulnérabilités dans les équipements industriels critiques utilisés par les aéroports, centrales nucléaires et autres.

La semaine dernière, des chercheurs de la startup ReVuln ont déclaré avoir découvert des failles 0-day dans les applications Scada (système de commandes dans les installations industrielles) de groupes comme Siemens, GE, et Schneider Electric. Ces failles sont toutes du côté des serveurs et exploitables à distance par des hackers. Ils projettent de vendre les détails de leur recherche à des clients potentiels. Ils défendent cette politique de vente en s'expliquant ainsi :

« Nous ne travaillons pas gratuitement. Nous avons plusieurs expériences dans le passé où les victimes ne nous remerciaient même pas pour avoir signalé un problème ».

Les logiciels Scada aussi vulnérables qu'un oisillon

En outre, Exodus Intelligence affirme avoir trouvé plus de 20 failles dans les logiciels Scada de nombreux éditeurs comme Rockwell, Schneider Electric, Indusoft et RealFlex. Aaron Portnoy, le responsable de la recherche chez Exodus, prétend avoir trouvé les failles en quelques heures seulement et associe dans un blogpost les logiciels Scada à un oisillon en terme de vulnérabilité aux attaques.

Il ajoute qu’il adressera le fruit de ses recherches aux éditeurs concernés. Toutefois,il déclare qu’il est probable qu’il ait découvert des failles similaires à celles trouvées par ReVuln.




Noter cet article (de 1 = Nul à 5 = Excellent) Valider

Dossier

Droit d’accès et comptes à privilèges

Jacques Cheminat 0 143225
Equifax, Deloitte, Uber, les récentes violations de données ont souvent des techniques de piratages différentes, mais un élément commun, obtenir l’accès à des applications critiques comme les bases de données, les bases clients, les informations bancaires. En général ces programmes sont soumis à habilitation et rattachés à des comptes à privilèges. leur protection est donc une nécessité dans un monde de plus en plus ouvert et insécurisé. Dossier publié avec le concours de Kleverware.
RSS
12



Événements SSI