Journal d'investigation en ligne et d'information‑hacking
par bluetouff

SCADA : l'éditeur Niagara à poil sur le Net

Pour se faire peur chez Reflets, il y a un truc que nous aimons beaucoup faire. Par exemple, des fois, on dégaine un Pastedleaks, et on tape "scada" dedans. C'est souvent amusant, mais il y a quand même des moments où on se dit que c'est un peu "moyen drôle ». Depuis quelques jours, Pastebin recèle de pages signées @ntisec. Toutes visent le framework Niagara, édité par Tridium.

Pour se faire peur chez Reflets, il y a un truc que nous aimons beaucoup faire. Par exemple, des fois, on dégaine un Pastedleaks, et on tape "scada" dedans. C'est souvent amusant, mais il y a quand même des moments où on se dit que c'est un peu "moyen drôle ». Depuis quelques jours, Pastebin recèle de pages signées @ntisec. Toutes visent le framework Niagara, édité par Tridium. Niagara est un gros bouzin en Java (les nerds épris de sémantique n'auront pas manqué le pléonasme), qui monitore des équipements industriels. On  trouve sans trop de peine une liste de systèmes monitorés par ce framework... sans authentification. Certes, on ne peut pas jouer à la gameboy avec une centrale électrique, mais on peut "visiter" des sites et récolter beaucoup d'informations sur ces derniers ou étudier le fonctionnement de ces solutions méconnues du grand public attendu qu'elles n'ont normalement pas grand chose à faire connectées à Internet.  Voici par exemple des SCADA Britanniques et Américains, on y trouve un peu de tout, du contrôle énergétique de bâtiments à de la vidéo surveillance.

Encore une fois, rien de dramatique, si ce n'est l'intérêt grandissant pour ces systèmes depuis l'énigme Stuxnet, un code viral qui visait les centrifugeuses de la centrale nucléaire de Natanz en Iran, s'attaquant à la vitesse de rotation des centrifugeuses, un cas d'école qui a passionné tout le petit monde de la sécurité vu qu'il s'agissait d'une attaque particulièrement élaborée portant sur un système dédié très sensible.

Rassurez-vous, rien de tout ça dans ce qui est diffusé sur Pastebin au sujet de la vulnérabilité du Framework Niagara, le scénario à la Die Hard 4 n'est donc pas tout à fait pour demain. Il est cependant bon de garder un œil attentif à l'évolution des vulnérabilités sur ces systèmes et leur diffusion publique.

0 Commentaires
Une info, un document ? Contactez-nous de façon sécurisée