Il y a presque un an jour pour jour, Luigi Auriema, l’un des plus grands chasseurs de failles à la surface des terres émergées, publiait une série d’alertes concernant des logiciels de commande de processus industriel d’origine 3S (Smart Software Solution).
Il semblerait que les automates programmes d’ABB soient eux aussi malades, atteints d’une lèpre assez semblable, fait remarquer le chercheur Italien. Dans les deux cas, les vulnérabilités (par débordement de buffer) ont été découvertes dans le serveur http intégré au logiciel/firmware des entreprises respectivement citées.
Cette sorte de loi des série rappelle bien entendu une autre épidémie de peste, celle des failles des serveurs web de console d’administration intégrés systématiquement dans le moindre routeur, la plus petite caméra en réseau, ou le plus anodin des firewalls. Il a fallu plus de 15 ans pour que l’on puisse constater un net fléchissement des bulletins d’alertes intitulés « httpd vulnerability in module xxxx », et l’on entend encore parfois quelques échos résonner à l’occasion du lancement d’un nouveau produit. Ce qui nous laisse augurer une décennie très animée dans le secteur scada.
