Énergie : une faille critique touche des machines de surveillance industrielle
![Image [Réseaux industriels :] les protéger est une priorité absolue](https://incyber.org//wp-content/uploads/2024/03/incyber-news-cybersecurite-cybersecurity-mechanics-industry-885x690.jpg)
![Image [Kaspersky] pointe un léger recul des attaques contre les ICS](https://incyber.org//wp-content/uploads/2023/12/incyber-news-cybersecurity-data-protection-limit-885x690.jpg)
Nozomi Networks a identifié trois vulnérabilités, dont une critique, sans correctif disponible, dans des équipements très utilisés par les infrastructures énergétiques.
Nozomi Networks, le spécialiste de la visibilité OT, IT et IoT, a révélé, le 26 septembre 2023, avoir découvert 3 failles de sécurité sur les machines de surveillance industrielle Bently Nevada 3500. Ces dernières permettent de détecter et prévenir les anomalies dans des équipements en rotation, comme des turbines, des compresseurs, des moteurs ou des générateurs.
Les Bently Nevada 3500 équipent de nombreuses infrastructures énergétiques, comme des raffineries, des installations pétrochimiques, des centrales hydroélectriques ou des parcs éoliens. Nozomi Networks alerte en particulier sur une de ces vulnérabilité, jugée critique. Elle permet en effet à un attaquant de contourner le processus d’authentification et d’obtenir un accès complet à l’appareil, via une simple demande malveillante.
Pire : les logiciels de pilotage étant anciens, il semble impossible de déployer un correctif. Nozomi Networks n’a donc donné aucun détail technique sur ces failles, pour éviter de donner des idées à des cybercriminels. Bently Nevada, filiale du géant des services pétroliers Baker Hughes, a en revanche fourni à ses clients plusieurs recommandations pour éviter d’exposer leurs machines vulnérables. L’industriel conseille notamment :
- de privilégier le mode « Config » au mode « Run » pendant une maintenance ;
- de segmenter le réseau pour empêcher les accès non-autorisés ;
- d’utiliser des mots de passe uniques et complexes.