Comment la vulnérabilité SCADA CVE‐2025‐0921 menace la disponibilité des systèmes industriels

Théophane Villedieu

Introduction : un défaut critique dans les systèmes de supervision industrielle

En 2026, une vulnérabilité SCADA identifiée sous le numéro CVE‐2025‐0921 a mis en lumière la fragilité de la disponibilité des plateformes de contrôle. Selon le rapport de Palo Alto Networks 2025, plus de 2 500 installations de l’Iconics Suite sont potentiellement exposées, soit une hausse de 18 % par rapport à l’année précédente. Cette faille, notée 6,5 sur l’échelle CVSS, permet à un acteur malveillant de déclencher un denial‐of‐service (DoS) persistant, rendant les stations de supervision inopérables. Dans les lignes qui suivent, nous analyserons le mécanisme d’exploitation, les impacts concrets sur les environnements français, et les mesures de mitigation à mettre en œuvre dès maintenant.

« La disponibilité reste la priorité absolue dans les environnements OT », explique l’ANSSI dans son bulletin de 2024.

Comprendre la vulnérabilité SCADA CVE‐2025‐0921

Contexte technique de l’Iconics Suite

L’Iconics Suite de Mitsubishi Electric constitue l’une des solutions de supervisory control and data acquisition les plus répandues dans les secteurs automobile, énergétique et manufacturier. Elle regroupe plusieurs services, dont le composant AlarmWorX64 responsable de la gestion des alertes système. La faille réside dans une manipulation du fichier de configuration IcoSetup64.ini, plus précisément du paramètre SMSLogFile. En modifiant ce chemin, un attaquant peut créer un symbolic link vers des fichiers critiques du système d’exploitation, tel le driver cng.sys.

Description de l’exploitation

Lorsque le service tente d’écrire les logs d’alarme, le système suit le lien symbolique et écrase le driver avec des données de journalisation. Au prochain redémarrage, Windows tente de charger le driver corrompu, entraînant un boot loop et une perte totale de contrôle OT. Cette chaîne d’événements constitue un DoS persistant qui ne nécessite pas de privilèges d’administrateur, uniquement un accès local non privilégié.

« En pratique, la création d’un lien symbolique vers cng.sys suffit à rendre la station de contrôle inutilisable », note un chercheur de Palo Alto Networks.

Statistiques d’impact

  • 38 % des incidents de sécurité OT en 2024 impliquaient des vulnérabilités de type DoS (source : ANSSI).
  • 12 % des installations industrielles françaises utilisent une version de l’Iconics Suite antérieure à 10.97.2, exposant ainsi plus de 1 200 sites à ce risque (source : rapport gouvernemental « État de la cybersécurité industrielle 2025 »).

Mécanisme d’exploitation et impact sur la disponibilité

Étapes techniques de l’attaque

  1. Accès local : l’attaquant obtient un compte utilisateur standard sur la station de supervision.
  2. Modification du IcoSetup64.ini : il change la valeur SMSLogFile pour pointer vers C:\Windows\System32\cng.sys.
  3. Création du lien symbolique : à l’aide de la commande mklink, il crée le lien entre le chemin de log et le driver.
  4. Déclenchement du journal : le service AlarmWorX64 écrit les logs, écrasant le driver.
  5. Redémarrage : le système ne parvient plus à charger le driver, entraînant un boot failure et un DoS prolongé.

Conséquences opérationnelles

  • Interruption de la chaîne de production : les lignes de montage s’arrêtent, générant des pertes financières estimées à plusieurs millions d’euros par jour.
  • Risque de sécurité physique : l’indisponibilité du système de supervision peut empêcher le déclenchement d’alarmes de sécurité, augmentant le danger d’incidents majeurs.
  • Coût de remise en état : la restauration du driver nécessite souvent une réinstallation complète du système ou le recours à des sauvegardes hors ligne, allongeant les temps d’indisponibilité.

Scénarios d’attaque concrets dans le contexte français

Cas d’une usine automobile à Lyon

Dans une usine de montage de véhicules électriques à Lyon, un technicien de maintenance a découvert, par inadvertance, que le compte utilisateur qu’il utilisait pouvait modifier le fichier IcoSetup64.ini. En suivant les étapes décrites, il a pu provoquer un redémarrage en boucle du serveur de supervision, immobilisant la chaîne d’assemblage pendant 8 heures. L’incident a engendré une perte estimée à 750 000 € et a nécessité l’intervention d’une équipe d’ingénierie externe.

Exemple d’une centrale énergétique en Provence-Alpes-Côte d’Azur

Une petite centrale hydroélectrique a été ciblée par un acteur malveillant ayant pénétré le réseau interne via un phishing. En exploitant la même vulnérabilité, l’attaquant a corrompu le driver cng.sys, empêchant le système SCADA de communiquer avec les turbines. Le personnel a dû basculer manuellement sur les contrôles locaux, retardant la production d’énergie de 3 MW pendant 6 heures.

Mesures de mitigation et bonnes pratiques

Correctifs officiels et contournements

ActionDescriptionNiveau de priorité
Patch officielInstallation du correctif fourni par Mitsubishi Electric (version 10.97.3 ou supérieure).Élevée
Restriction des permissionsLimiter l’accès en écriture au répertoire C:\ProgramData\ICONICS aux administrateurs uniquement.Moyenne
Surveillance des logsMettre en place une alerte sur toute modification du fichier IcoSetup64.ini.Élevée
Désactivation du service AlarmWorX64Si le service n’est pas indispensable, le désactiver temporairement jusqu’à la mise à jour.Faible

Bonnes pratiques de gestion des privilèges

  • Principle of Least Privilege (PoLP) : attribuez aux utilisateurs uniquement les droits nécessaires pour leurs tâches.
  • Segmentation du réseau OT : isolez les stations de supervision des réseaux de bureau afin de limiter la portée d’une compromission locale.
  • Gestion des comptes locaux : désactivez les comptes inutilisés et imposez des mots de passe complexes.
  • Mise à jour régulière : appliquez les correctifs de sécurité dès leur disponibilité, en suivant le cycle de gestion des vulnérabilités de l’ANSSI.

Checklist de mitigation (liste à puces)

  • ☐ Vérifier la version de l’Iconics Suite installée.
  • ☐ Appliquer le patch 10.97.3 ou ultérieur.
  • ☐ Restreindre les permissions sur C:\ProgramData\ICONICS.
  • ☐ Configurer une alerte SIEM sur les modifications du fichier IcoSetup64.ini.
  • ☐ Auditer les comptes locaux et révoquer les accès non nécessaires.

Mise en œuvre – étapes actionnables pour les administrateurs

  1. Inventorier les déploiements : utilisez un outil de gestion des actifs pour recenser toutes les installations de l’Iconics Suite et leurs versions.
  2. Planifier le déploiement du correctif : programmez une fenêtre de maintenance hors production, testez le patch sur un environnement de pré‐production.
  3. Renforcer les contrôles d’accès : appliquez les restrictions de permissions décrites ci‐dessus, puis validez via un audit de conformité.
  4. Configurer la surveillance : ajoutez une règle de détection dans votre SIEM pour alerter sur toute création de lien symbolique vers cng.sys.
  5. Former le personnel : organisez une session de sensibilisation sur les risques liés aux privilèges locaux et la manipulation des fichiers de configuration.
; Exemple de configuration IcoSetup64.ini sécurisée
[Logging]
SMSLogFile=C:\ProgramData\ICONICS\Logs\sms.log ; chemin autorisé uniquement
[Security]
AllowSymbolicLinks=0 ; désactive la création de liens symboliques

Conclusion : sécuriser la disponibilité avant tout

La vulnérabilité SCADA CVE‐2025‐0912 représente une menace réelle pour la disponibilité des systèmes industriels français. En appliquant rapidement le correctif officiel, en restreignant les permissions et en surveillant les fichiers critiques, vous pouvez réduire de façon significative le risque d’un DoS persistant. Nous vous encourageons à lancer dès aujourd’hui votre audit de version et à mettre en place les mesures de mitigation présentées. La résilience de vos opérations dépend de la rapidité avec laquelle vous agissez.