Sécurité publique Canada
Symbole du gouvernement du Canada
Passer au contenu | Passer aux liens institutionnels

Common menu bar links | Liens de navigation communs

Skip Navigation Links Accueil > Programmes > Intervention > CCRIC > Diffusions analytiques 2010 > AV10-023 : Vulnérabilités des logiciels SIMATIC WinCC et Step7 de Siemens

Liens institutionnels

Vulnérabilités des logiciels SIMATIC WinCC et Step7 de Siemens

Numéro : AV10-023
Date : 27 juillet 2010

Objet

L'objet de cet avis est d'attirer l'attention sur une vulnérabilité récemment découverte et visant les logiciels de contrôle du système SIMATIC WinCC et Step7 de Siemens.

Évaluation

Les systèmes SCADA (système d'acquisition et de contrôle des données) qui utilisent le logiciel SIMATIC WinCC ou Step7 de Siemens sont vulnérables au programme malveillant découvert récemment. L’interface homme-machine (HMI) SIMATIC WinCC est un système de visualisation à traitement évolutif pour la surveillance des processus automatisés. SIMATIC STEP 7 est un logiciel d’ingénierie utilisé pour la programmation et la configuration des contrôleurs programmables SIMATIC. Ces deux produits sont utilisés dans de nombreux secteurs à infrastructure critique. 

Systèmes touchés :
Tous les systèmes WinCC et Step7 de Siemens utilisant actuellement les systèmes d’exploitation Windows suivants :

  • Windows XP Service Pack 3
  • Windows XP Professional Édition x64 Service Pack 2
  • Windows Server 2003 Service Pack 2
  • Windows Server 2003 Édition x64 Service Pack 2
  • Windows Server 2003 avec SP2 pour systèmes Itanium
  • Windows Vista Service Pack 1 et Windows Vista Service Pack 2
  • Windows Vista Édition x64 Service Pack 1 et Windows Vista Édition x64 Service Pack 2
  • Windows Server 2008 pour systèmes 32 bits et Windows Server 2008 pour systèmes 32 bits Service Pack 2
  • Windows Server 2008 pour systèmes x64 et Windows Server 2008 pour systèmes x64 Service Pack 2
  • Windows Server 2008 pour systèmes Itanium et Windows Server 2008 pour systèmes Itanium Service Pack 2
  • Windows 7 pour systèmes 32 bits
  • Windows 7 pour systèmes x64
  • Windows Server 2008 R2 pour systèmes x64
  • Windows Server 2008 R2 pour systèmes Itanium

La vulnérabilité est liée à l’utilisation d’un mot de passe incorporé au programme pour protéger la base de données utilisée par ces applications, et qui est devenue connue publiquement. La vulnérabilité a déjà été exploitée, tirant parti d’un dispositif portatif USB, et une vulnérabilité de jour zéro annoncée récemment sur le système d’exploitation Windows (base de connaissances MS, avis de sécurité 2286198). On a attribué à cette vulnérabilité l’identificateur CVE suivant : CVE-2010-2568.

Mesure suggérée

Siemens a lancé un correctif pour régler ce problème spécifique, qui se trouve à l'adresse en référence au point D ci-dessous. Le CCRIC recommande aux organismes de communiquer avec les administrateurs ou spécialistes de la maintenance responsables des biens touchés et de commencer la planification et la mise en œuvre de la correction nécessaire dès que possible.

Références :

A. http://www.microsoft.com/france/technet/security/advisory/2286198.mspx
B. http://www.tofinosecurity.com/professional/siemens-pcs7-wincc-malware
C. http://krebsonsecurity.com/2010/07/experts-warn-of-new-windows-shortcut-flaw/#more-4045
D. http://support.automation.siemens.com/WW/llisapi.dll/csfetch/43876783/sysclean.zip?func=cslib.csFetch&nodeid=43932305
Checksum:
E. http://support.automation.siemens.com/WW/llisapi.dll/csfetch/43876783/checksum_sysclean.txt?func=cslib.csFetch&nodeid=43931924

Note aux lecteurs

Le Centre canadien de réponse aux incidents cybernétiques (CCRIC) constitue le point de convergence au Canada pour les avertissements et l'analyse concernant les menaces et les vulnérabilités cybernétiques, ainsi que pour la coordination de la réponse aux incidents. Le CCRIC est chargé d'assurer la résilience de l'infrastructure essentielle nationale en surveillant les menaces et en coordonnant la réponse du gouvernement fédéral aux incidents de cybersécurité d'intérêt national. Le CCRIC, qui travaille conjointement avec le Centre des opérations du gouvernement (COG) de Sécurité publique Canada, constitue un élément clé de l'approche « tous risques » du gouvernement en regard de la gestion des urgences et de la sécurité nationale.

Pour obtenir des renseignements généraux, veuillez communiquer avec la division des Affaires publiques de Sécurité publique Canada:

Téléphone: 613-944-4875 ou 1-800-830-3118
Télécopieur: 613-998-9589
Courriel: communications@ps-sp.gc.ca

Date de modification : 2010-07-27
Haut de la page
Haut de la page
Avis importants