Scada et NSS : je sais tout, je dirais rien

Actualités - Scada - Posté on 20 Mai 2011 at 9:24 par Solange Belkhayat-Fuchs

Dans un billet signé Rick Moy, l’on apprend que les chercheurs de NSS seraient tombés sur des failles affectant un logiciel de commande de processus conçu par Siemens et pouvant faire l’objet d’une attaque distante. Le logiciel en question serait largement utilisé dans le cadre d’applications Scada. La divulgation de ladite faille aurait dû faire l’objet d’une conférence par MM Dillon Beresford et Brian Meixell dans le cadre de la conférence TakeDownCon. Las, le problème n’a pas été totalement corrigé par l’éditeur et la grande moralité des chercheurs de NSS n’étant plus à faire, l’annonce en question s’est transformée en non-annonce, annulation de ladite conférence, le tout étant rapidement retransformé en opération marketing ad majorem NSS gloriam, sur l’air du « nous n’avons rien à dire, mais nous le faisons savoir fort et clair ».

D’ailleurs, les logiciels de supervision étant, par nature, déconnectés (en théorie) de tout lien internet, il y a fort à parier que si faille était trouvée par d’autres personnes moins honnêtes (et si par hasard les éditeurs responsables étaient parvenus à corriger ledit défaut), on se demande comment les bouchons auraient pu être déployés simplement. Et par conséquent, il est facile de conclure que la majorité de ces logiciels de ce type et en production sont actuellement vulnérables, rustine ou pas rustine. A décharge, si les administrateurs ont du mal à déployer des correctifs sur ces réseaux isolés et hermétiques, les éventuels pirates ont tout autant de mal (sinon plus) pour diffuser leurs propres œuvres. N’est pas Stuxnet qui veut.

La rédaction de CNIS-Mag profite de ce non-événement pour communiquer un message de la Correctrice des Notes de la correctrice : « De Lille à Marseille et de Strasbourg à Brest, on ne dit pas PLC ou contrôleurs logiques programmables, mais Automates Programmables. On ne parle pas de « process control » mais de « commande de processus industriel ». Fort heureusement une boucle PID reste une boucle PID (proportionnelle-intégrée-dérivée, en Français dans le texte). En revanche une « probe » ne se traduit pas par « sonde » mais par « capteur » ». La rédaction tentera de respecter les recommandations de notre commission-de-la-langue-française-à-nous.

Laisser une réponse