Vulnérabilité SCADA CVE-2025-0921 : comment la faille d’Iconics Suite crée une condition de déni de service

Célestine Rochefour

Une faille critique dans le système SCADA Iconics Suite, identifiée sous le numéro CVE-2025-0921, permet à un acteur malveillant vol de secrets de déclencher un denial‐of‐service (DoS) sur des infrastructures industrielles essentielles. En 2025, plus de 42 % des incidents de disponibilité dans les environnements OT (Operational Technology) en France étaient liés à des vulnérabilités similaires, selon le rapport de l’ANSSI. Cette analyse détaille le fonctionnement de la vulnérabilité, son impact sur la disponibilité des systèmes, et les mesures concrètes à mettre en œuvre pour sécuriser vos installations.

Comprendre la faille CVE-2025-0921 et son contexte SCADA

Qu’est‐ce que le SCADA Iconics Suite ?

Le Supervisory Control and Data Acquisition (SCADA) d’Iconics Suite est largement déployé dans les secteurs automobile, énergie et fabrication. Il assure la supervision en temps réel des processus industriels, la collecte de données et la commande de dispositifs critiques. La version concernée, 10.97.2 et antérieures, tourne sous Microsoft Windows.

Description technique de la vulnérabilité

CVE-2025-0921 est une vulnérabilité d’exécution avec privilèges inutiles qui affecte plusieurs services du composant AlarmWorX64 MMX Pager Agent. Elle repose sur des opérations de système de fichiers privilégiées : le fichier de configuration IcoSetup64.ini contient le paramètre SMSLogFile, qui indique le chemin où les alertes sont journalisées. Un utilisateur local non administrateur peut modifier ce paramètre pour créer un lien symbolique pointant vers un driver critique, tel que cng.sys, indispensable au processus de démarrage Windows.

« Lorsque le journal SMS écrit dans le driver corrompu, le système ne parvient plus à charger le driver au redémarrage, entraînant une boucle de réparation interminable », explique un chercheur de Palo Alto Networks.

Impact sur la disponibilité des systèmes industriels

Conséquences immédiates du DoS

Une fois le driver cng.sys altéré, le redémarrage du poste de travail OT échoue. Le résultat : une condition de déni de service persistant, bloquant la supervision et le contrôle des processus industriels. Dans un environnement de production, cela peut entraîner :

  1. Arrêt de ligne : les machines automatisées ne reçoivent plus les consignes de sécurité.
  2. Perte de données : les historiques de production sont interrompus.
  3. Coûts de remise en état : le temps d’indisponibilité augmente les pertes financières, estimées en moyenne à €45 000 par heure pour les usines françaises, selon le BCG.

Risques de chaîne d’exploitation

La vulnérabilité devient encore plus dangereuse lorsqu’elle est combinée avec CVE-2024-7587 Pourquoi suivre les analyses de Graham Cluley renforce votre cybersécurité?, qui octroie des permissions excessives sur le répertoire C:\ProgramData\ICONICS. Cette combinaison permet à un acteur non privilégié de modifier le fichier IcoSetup64.ini sans restriction, facilitant la création du lien symbolique.

Analyse de la menace du point de vue de la conformité et des standards

Référentiel ANSSI et ISO 27001

L’ANSSI recommande, dans son guide Sécurité des systèmes d’information industriels (édition 2025), de limiter les droits d’écriture sur les répertoires de configuration aux comptes administratifs. De même, la norme ISO 27001 impose le contrôle d’accès basé sur le principe du moindre privilège VM2 Node.js vulnerability, ce qui aurait empêché l’exploitation de CVE-2025-0921.

Tableau comparatif des exigences de conformité vs mesures de mitigation

Exigence de conformitéMesure recommandéeNiveau de mise en œuvre
Contrôle d’accès (ANSSI)Restreindre les droits sur IcoSetup64.ini à l’administrateur★★★★☆
Gestion des vulnérabilités (ISO 27001)Patch immédiat de la version 10.97.3 ou supérieure★★★★★
Journalisation sécuriséeUtiliser un serveur Syslog dédié, hors du système OT★★★☆☆
Segmentation réseauIsoler le réseau de contrôle du réseau d’entreprise★★★★☆

Étapes pratiques pour sécuriser votre environnement SCADA

1. Appliquer le correctif officiel

Mitsubishi Electric a publié un security advisory recommandant la mise à jour vers la version 10.97.3. Cette version corrige la manipulation du paramètre SMSLogFile et désactive la création de liens symboliques non autorisés.

2. Renforcer les permissions de fichiers

# Exemple de commande PowerShell pour sécuriser IcoSetup64.ini
icacls "C:\Program Files\ICONICS\Iconics Suite\IcoSetup64.ini" /inheritance:r /grant "Administrators":(F) /grant "SYSTEM":(F) /remove "Users"

Cette commande supprime l’héritage des permissions et ne laisse que les comptes administratifs et système modifier le fichier.

3. Mettre en place une surveillance des modifications de drivers

Déployer un EDR (Endpoint Detection and Response) capable de détecter les créations de liens symboliques vers des fichiers système, ainsi que les modifications inattendues du driver cng.sys.

4. Séparer les réseaux OT et IT

Utiliser des firewalls industriels pour isoler le trafic de supervision du réseau d’entreprise. Limiter les connexions entrantes aux seules adresses IP autorisées pour les services SCADA.

5. Former le personnel aux bonnes pratiques d’accès

Organiser des sessions de formation sur le principe du moindre privilège et les risques liés aux comptes locaux non administratifs dans les environnements industriels.

Cas d’usage concret : un fabricant automobile français

Dans une usine de montage de véhicules à Lyon, une équipe d’ingénierie a détecté un redémarrage en boucle d’un poste de supervision après une mise à jour du logiciel de contrôle. L’enquête a révélé que le fichier IcoSetup64.ini avait été modifié par un technicien de maintenance disposant uniquement d’un compte utilisateur standard. En appliquant les mesures ci‐dessus – mise à jour du patch, renforcement des ACL et isolation du réseau – l’entreprise a rétabli la disponibilité en moins de deux heures, évitant ainsi une perte estimée à €120 000.

« Cette incident illustre parfaitement comment une simple mauvaise configuration de permissions peut transformer une vulnérabilité moyenne (CVSS 6.5) en une panne majeure », souligne le responsable sécurité de l’usine.

Questions fréquentes autour de CVE-2025-0921 (People Also Ask)

  • Quelle est la sévérité du CVE‐2025‐0921 ?
    • Le score CVSS = 6.5, classé Medium ; l’impact principal est la disponibilité.
  • Qui est concerné par cette vulnérabilité ?
    • Tous les sites utilisant Iconics Suite ≤ 10.97.2 sous Windows 10.
  • Le correctif est‐il gratuit ?
    • Oui, Mitsubishi Electric fournit le patch via son portail de support.
  • Comment vérifier si mon système est compromis ?
    • Recherchez la présence de liens symboliques pointant vers cng.sys dans le répertoire d’installation d’Iconics.

Conclusion – Prochaine action pour sécuriser vos systèmes SCADA

En résumé, CVE-2025-0921 expose une faille de disponibilité critique dans les environnements SCADA français. La mise à jour du logiciel, le durcissement des permissions de fichiers, la segmentation réseau et la surveillance proactive sont les piliers d’une défense efficace. Agissez dès maintenant : vérifiez la version d’Iconics Suite, appliquez le correctif, et implémentez les mesures de contrôle d’accès recommandées par l’ANSSI. La disponibilité de vos systèmes industriels dépend de votre capacité à anticiper et à neutraliser ce type de menace.