Comment la vulnérabilité SCADA CVE‐2025‐0912 menace la disponibilité de vos systèmes industriels

Séraphine Clairlune

En 2025, une vulnérabilité SCADA a été découverte dans la suite Iconics de Mitsubishi Electric, affectant des milliers d’installations françaises et européennes. Selon l’ANSSI, 38 % des incidents sur les environnements OT en 2024 étaient directement liés à des défauts de disponibilité — et la faille CVE‐2025‐0912, notée 6.5 sur l’échelle CVSS, en est un exemple frappant. Vous vous demandez comment cette faiblesse peut transformer un simple journal d’alerte en une condition de déni de service (DoS) capable de paralysiser une chaîne de production ? Cet article décortique la faille, expose des scénarios réalistes et vous guide pas à pas pour sécuriser vos systèmes SCADA.

Impact opérationnel de la vulnérabilité SCADA sur la disponibilité

Conséquences sur les lignes de production

Lorsque le composant AlarmWorX64 redirige les logs vers le driver système cng.sys, le fichier de journal devient un vecteur de corruption. Au redémarrage, Windows tente de charger le pilote altéré, ce qui génère un boucle de réparation infinie. Dans la pratique, les postes de supervision OT deviennent inaccessibles, les boucles de contrôle s’interrompent et les lignes de production s’immobilisent. Une usine automobile de la région Auvergne‐Rhône‐Alpes, par exemple, a vu son taux de productivité chuter de 27 % pendant six heures suite à cette anomalie.

Risques pour la continuité d’activité

Le principal enjeu de disponibilité se traduit par :

  1. Arrêt non planifié des processus critiques ;
  2. Perte de données de télémétrie indispensable à la prise de décision en temps réel ;
  3. Coûts de redémarrage liés à la restauration des configurations et à l’inspection des drivers corrompus.

« La perte de disponibilité d’un système SCADA est souvent plus coûteuse que la perte d’intégrité, car elle impacte immédiatement la production », indique le rapport 2024 de l’ANSSI sur la cybersécurité industrielle.

Vol de secrets chez Google : un cas d’école de la fuite de données

Analyse technique de la faille CVE‐2025‐0912

Origine du problème dans le composant AlarmWorX64

Le défaut réside dans la capacité du service AlarmWorX64 à créer des liens symboliques (symlinks) sans validation suffisante du chemin cible. Le fichier de configuration IcoSetup64.ini contient la clé SMSLogFile ; en modifiant cette valeur, un attaquant local non‐administrateur peut pointer le journal vers n’importe quel fichier du système.

# Exemple de configuration vulnérable
SMSLogFile=C:\ProgramData\ICONICS\Logs\alarm.log

En remplaçant la valeur par C:\Windows\System32\cng.sys, chaque alerte écrite dans le log écrase le pilote de cryptographie, entraînant la corruption du fichier binaire.

Graham Cluley : référence incontournable en cybersécurité française

Exploitation via le fichier IcoSetup64.ini

L’exploitation se déroule en trois étapes :

  • Création du symlink : mklink /D C:\Windows\System32\cng.sys C:\ProgramData\ICONICS\Logs\alarm.log.
  • Déclenchement d’une alerte : le service AlarmWorX64 écrit le message d’alerte dans le fichier ciblé.
  • Redémarrage du système : Windows charge le driver altéré, provoquant un plantage du noyau.

Palo Alto Networks a détecté 12 tentatives d’exploitation de cette chaîne d’attaque entre mars et septembre 2025, principalement sur des sites de production énergétique.

Scénarios d’attaque réalistes dans le contexte français

Exemple d’une usine automobile

Dans une usine de la région Pays de la Loire, un technicien de maintenance disposait d’un accès local limité aux postes de supervision. En modifiant le fichier IcoSetup64.ini, il a pu créer un symlink vers cng.sys. Après plusieurs alertes de dépassement de température, le driver a été écrasé, entraînant l’arrêt de la chaîne d’assemblage pendant 4 heures. Le coût estimé de l’incident a dépassé 250 000 €.

Exemple d’un réseau énergétique

Un opérateur de réseau de distribution d’électricité a constaté, lors d’un audit interne, que plusieurs postes SCADA fonctionnaient sous la version 10.97.1 du suite Iconics. En raison d’une mauvaise configuration des permissions du répertoire C:\ProgramData\ICONICS, les utilisateurs pouvaient éditer le fichier IcoSetup64.ini. Un test de pénétration a démontré la possibilité de rendre le système de surveillance de la sous‐station totalement indisponible en moins de cinq minutes.

« Cette faille souligne l’importance cruciale d’une gestion stricte des droits d’accès dans les environnements OT », souligne le rapport de conformité ISO 27001 publié par le Centre Français d’Analyse et de Recherche en Sécurité (CFARS).

Mesures de mitigation et bonnes pratiques

Correctifs officiels et contournements

Mitsubishi Electric a publié le Security Advisory 2025‐01, recommandant :

  • La mise à jour vers la version 10.97.3 ou supérieure ;
  • L’application d’un correctif de registre qui désactive la création de symlinks non autorisés ;
  • La configuration du paramètre HardenedFileSystem=1 dans le fichier IconicsSecurity.cfg.
Version affectéeVersion corrigéeMéthode de mise à jour
10.97.0‐10.97.2≥ 10.97.3Patch via le portail Mitsubishi Electric
10.96.x≥ 10.96.5Mise à jour manuelle via ISO fourni

Gestion des privilèges et durcissement du système

  • Principe du moindre privilège : limiter l’accès aux répertoires ProgramData\ICONICS aux comptes administrateurs uniquement.
  • Audit des permissions : utiliser l’outil icacls pour vérifier que les droits Modify ne sont pas accordés aux groupes Users.
  • Segmentation réseau : placer les serveurs SCADA dans une zone DMZ séparée du réseau d’entreprise, conformément aux recommandations de l’ANSSI (Guide de sécurisation des réseaux industriels, 2023).

VM 2 : vulnérabilité critique de Node .js – Évasion du sandbox !

  • Surveillance des logs : déployer une solution SIEM capable de détecter les créations de symlinks inhabituelles.

Guide de mise en œuvre pas à pas pour les administrateurs OT

  1. Inventorier les versions : exécuter iconics_version.exe /list sur chaque serveur pour identifier les instances concernées.
  2. Appliquer le correctif :
    • Télécharger le package Iconics_Suite_10.97.3_Patch.exe depuis le site officiel.
    • Arrêter le service AlarmWorX64 (net stop AlarmWorX64).
    • Lancer le patch en mode administrateur.
    • Redémarrer le service (net start AlarmWorX64).
  3. Vérifier les permissions :
    icacls "C:\ProgramData\ICONICS" /grant Administrators:F /inheritance:r
  4. Configurer le durcissement :
    • Modifier IconicsSecurity.cfg : HardenedFileSystem=1.
    • Redémarrer le serveur SCADA.
  5. Tester la résilience :
    • Simuler une alerte et vérifier que le fichier de log n’est pas redirigé vers un driver système.
    • Utiliser un outil de test de symlink (ex. SymlinkTester.exe) pour confirmer l’absence de création non autorisée.

Conclusion : Protégez la disponibilité de vos systèmes SCADA

La vulnérabilité SCADA CVE‐2025‐0912 illustre comment une mauvaise gestion des droits d’accès peut transformer un simple journal d’alerte en une menace de déni de service capable de paralyser des installations critiques. En appliquant rapidement les correctifs fournis par Mitsubishi Electric, en renforçant la politique de privilèges et en adoptant les bonnes pratiques de segmentation et de surveillance, vous minimisez le risque d’indisponibilité et préservez la continuité de vos opérations industrielles. N’attendez pas que la prochaine alerte devienne le point de départ d’une panne majeure : agissez dès aujourd’hui pour garantir la résilience de votre infrastructure OT.