Et oui, quand on lit la nouvelle absolument hallucinante du monde informatique sur la faille actuelle touchant les systèmes SCADA de chez Siemens, on pourrait effectivement imaginer que leur RSSI est en train de chercher du boulot.. En effet, on apprend que les SCADA de chez Siemens, en plus de posséder un mot de passe par défaut utilisé par un ver très ciblé ne peuvent pas en changer !! Imaginer, on vous livre une livebox avec le mot de passe admin par défaut fixé à admin et en plus vous ne pouvez pas le changer, au risque de “désactiver tout le système si le mot de passe n’est plus reconnu“.
Ce qui est très drôle dans mon exemple tout à fait farfelu de la Livebox, c’est que pour une simple box personnelle aujourd’hui plus personne ne peut imaginer ce cas de figure (autrefois courant il est vrai). Pourtant, sur un système professionnel, hautement critique et onéreux pour les entreprises, on y est encore confronté aujourd’hui ! Pourquoi ?
A mon sens on retrouve (comme souvent) les constats suivants :
- La sécurité informatique est encore, en entreprise, trop éloignée des opérationnels et de la production. Enfermée dans sa tour d’ivoire remplie de certifications ISO et de bonnes pratiques, elle en oublie parfois des pans entiers de son action par sa méconnaissance du terrain;
- la sécurité informatique est la dernière roue du carrosse. Soyons honnête, Siemens n’est très certainement pas le seul fabricant de Scada à mettre en production des machines aussi vulnérables. Et si chez Siemens désormais une recherche accrue des vulnérabilités devrait être mise en oeuvre, je doute que ses concurrents en fasse de même tant qu’ils n’auront pas subis des pertes financières directement liées à la sécurité informatique. La sécurité informatique est encore trop considérée comme une empêcheuse de tourner en rond qui ne fait que ralentir un process.
- les systèmes industriels de type Scada (mais ils ne sont pas les seuls) n’ont pas fini de faire parler d’eux. Le code malveillant touchant Siemens ne “fait que” prélever de l’information sans doute à des fins d’espionnage économique. Dans le cas d’un scénario plus destructeur ce sont des interruptions de service qui risquent de se produire. Ce type de scénario ne doit définitivement plus être considéré comme de la science-fiction au vu du niveau de sécurité pitoyable affiché par les Scada.
C’est la version 6.0 de IIS qui est affectée par cette vulnérabilité dans sa fonctionnalité de partage Webdav. Pour rappel, le protocole Webdav permet aux serveurs Web de partager des fichiers vers différents clients comme des navigateurs web mais également des explorateurs Windows. Cette vulnérabilité consiste en un problème de vérification des caractères unicode. Ce manque de contrôle permet à des attaquant de former des requêtes malicieuses leur permettant d’accéder à des dossiers normalement protégés sans authentification. L’accès obtenu leur permet de télécharger des fichiers mais également de charger sur le serveur leurs propres fichiers.
Il s’agit réellement d’un problème important qui touche tous les serveurs IIS fonctionnant en version 6.0. Cette faille n’est actuellement couverte par aucun patch de sécurité, et la seule protection pour les administrateurs est donc de désactiver purement et simplement le service Webdav de leur serveur.
Source : H-security
Exploit : Milworm
La fonction de hashage SHA1 fait l’objet depuis quelques mois d’études sur des possibilités de collision rendant ainsi vulnérable cette fonction. Et bien désormais on peut dire que c’en est définitivement fini de SHA1. En effet, lors de la conférence Eurocrypt 2009, une démonstration a été faite prouvant que 2^52 opérations suffisaient pour provoquer une collision. Ce nombre de calcul est accessible par un simple PC en quelques semaines….
Derniers commentaires