|
RECHERCHE
|
:: Actualité ::
[Les News] [Recherche avancée] [SecALERT]
Kevin Finisterre met de l’eau dans le gaz américain
Pas de panique, mais une certaine inquiétude dans les infrastructures SCADA des gaziers américains, depuis que Kevin Finistère a publié un exploit destiné à la plateforme de pentest Metasploit, et visant CitectSCADA, logiciel de contrôle de processus utilisé dans les infrastructures stratégiques du secteur de l’énergie (usines à gaz, raffineries etc).
Cette publication, si l’on se réfère à l’explication donnée par Kevin Finisterre, serait essentiellement motivée par l’attitude de Citect, l’éditeur, qui minimise l’importance des travaux du chercheur en sécurité. Citect rassure ses clients en affirmant qu’il ne peut existe le moindre danger, les programmes Scada étant, d’une part, isolés des réseaux de communication public par des couches de firewalls, et d’autre part soumis à des règles architecturales rendant l’accès à ces programmes pratiquement impossible.
Ce à quoi Finistère rétorque en substance « c’est là de la sécurité par obscurantisme. Ce buffer overflow peut très bien être exploité par un employé aigri ». On se souvient comment un ingénieur informaticien avait, cet été, pris en otage les fichiers administratifs de la ville de Los Angeles. La position de Finisterre est bien plus plausible que celle de Citect, même si certains peuvent juger sa réaction un peu excessive.
A remarquer cette sentence finale qui clôt la publication de l’exploit : « If you outlaw SCADA exploits, only outlaws will have SCADA exploits » : Si vous rendez hors la loi cet exploit SCADA, seul les hors la loi utiliseront cet exploit SCADA. Un plaidoyer en faveur d’une divulgation responsable et entière des failles de sécurité critiques, qui avait déjà mis Kevin Finisterre sur le devant de la scène il y a quelques temps, lors de l’inoubliable « Month of Apple Bug », en compagnie de LMH.
|
|
Les 10 actualités suivantes :
|
|
|
|
Les 10 actualités précédentes :
|
|
|
|
