Scada

Analyse partielle et partiale, puisqu’effectuée par Trend Micro, un vendeur de sécurité, mais confirmée en grande partie par les quelques piratages grandioses dans le secteur de l’énergie (de Stuxnet au hack des centrales d’Ukraine). Les deux talons d’Achilles des OIV sont les IHM et l’inertie au déploiement de correctifs… du fait des éditeurs mêmes. La […]

Scott Erven et Mark Collao sont des specialistes du fuzzing à grande échelle dans un domaine plutôt sensible : les équipements médicaux. L’un est d’ailleurs un spécialiste sécurité de ce secteur, l’autre un chercheur pratiquant les tests de pénétration de longue date. Et leur toute récente communication effectuée à l’occasion de Derbycon 2015 renvoie les […]

Le hack des Jeeps par Charlie Miller n’a pas fini de faire couler de l’octet. Peu de temps après l’annonce du recours collectif visant le constructeur Chrysler, à peine annoncé le rappel de 1,4 million de véhicules, que déjà fusent quelques remarques laissant entendre que si hack il y a eu, c’était en raison de failles […]

Bob Radvanovsky et Jacob Brodsky ne sont pas des inconnus dans le monde de la sécurité industrielle. Cela fait près de deux ans qu’ils balayent Internet à la recherche de signatures caractéristiques propres au système de commande de processus industriels. En d’autres termes, ce sont des chasseurs de Scada, des entomologistes de l’OIV (opérateur d’importance […]

Le NIST Américain s’engage dans une grande opération d’assainissement des équipements d’infrastructure vitale (Scada) et commence par bâtir une plateforme de test des équipements industriels, le Reconfigurable Industrial Control Systems Cyber-Security Testbed. Plateforme dont la conception prendra en compte les avis des équipementiers et utilisateurs directement concernés, quelle que soit leur origine : « NIST […]

l’ICS Cert (USA) émet une alerte concernant plus de 300 équipements médicaux fabriqués par au moins 40 entreprises différentes. Motif : mot de passe codé en dur. En fait, la nouvelle n’est pas très fraîche, puisqu’elle a fait l’objet d’une présentation par MM Terry McCorkle et Billy Rios durant la conférence sécurité S4, consacrée aux […]

Thomas Houdy, du Cert Lexsi, publie un billet très synthétique sur la sécurité industrielle et ses méthodes. Article raisonné et raisonnable traitant de deux réalités : la vulnérabilité endémique des systèmes de contrôle de processus particulièrement depuis leur « windowisation » intensive et l’augmentation des fameuses APT, opération d’espionnage industriel systématique visant toute infrastructure possédant […]

Un article du Threat Post commente une récente analyse (ou plus exactement un scan massif de l’Internet nord-américain) effectué par Shodan. Balayage de réseau ayant pour but de découvrir combien de composants accessibles via IP seraient reliés à des systèmes de gestion des flux d’importance stratégique (Scada). Et l’enquête de conclure que plus de 7200 […]

Il y a presque un an jour pour jour, Luigi Auriema, l’un des plus grands chasseurs de failles à la surface des terres émergées, publiait une série d’alertes concernant des logiciels de commande de processus industriel d’origine 3S (Smart Software Solution). Il semblerait que les automates programmes d’ABB soient eux aussi malades, atteints d’une lèpre […]

Silicon Valley Tour Grâce au Smart Grid, nous sortons de l’âge de pierre en termes d’infrastructure électrique. En France, un décret d’Août 2010 indique que d’ici 2016, tous les compteurs installés en France devront être communicants, sachant que dès 2014, la moitié doive déjà l’être. La modernisation de l’infrastructure électrique est en marche, une modernisation […]