Cisco publie probablement le premier bulletin d’alerte Scada de son histoire, en signalant l’existence d’une faille dans NBM, le Cisco Network Building Mediator. Ce NBM est en fait l’évolution d’une gamme de produits provenant du rachat de Richards-Zeta, entreprise spécialisée dans les systèmes de commande et de contrôle des fluides dans un bâtiment (air conditionné, électricité, éclairage, contrôle d’accès et alertes sécurité diverses). La faille offrirait, précise le bulletin, des possibilités d’escalade de privilège et des interceptions d’information. Les équipements seraient en outre coupables d’un péché originel souvent rencontré, celui des « crédences par défaut ». Pis encore, l’alerte Cisco suppute que ce bug pourrait être endémique, et que les anciennes installations effectuées par Richards-Zeta seraient susceptibles d’être frappées du même mal.
Généralement,une simple « panne » de circulation d’air a pour conséquence, dans les immeubles de grande hauteur, l’évacuation du bâtiment. C’est là un automatisme logique de sécurité. Si une telle panne provoquée risque également de débloquer les contrôles d’accès physique au bâtiment, les scénarii les plus fous peuvent être imaginés. Avec un tel défaut, n’importe qui peut… s’inspirer des exploits possibles pour écrire un roman techno-policier. Il ne reste plus qu’à dresser la liste des établissements financiers utilisant un système NMB, puis de vérifier si l’accès à celui-ci est possible via l’interface Web de consultation de compte-client ou par le truchement du réseau VoIP de la banque. *
*NdlC Note de la Correctrice : On devrait peut-être déposer l’idée… avant que Spielberg ou que Quentin Tarentino nous la pique