Comment la vulnérabilité SCADA CVE-2025-0921 peut provoquer un déni de service et menacer la disponibilité industrielle

Apollinaire Monteclair

Une faille méconnue qui menace la disponibilité de vos systèmes industriels

En 2025, plus de 30 % des incidents de cybersécurité dans les environnements OT (technologies opérationnelles) étaient liés à des problèmes de disponibilité, selon le rapport annuel de l’ANSSI. Imaginez que, demain, l’un des contrôleurs de votre ligne de production se retrouve bloqué, incapable de communiquer, simplement parce qu’un attaquant a exploité une mauvaise configuration de fichier. vol de secrets Cette situation est exactement ce que rend possible la vulnérabilité SCADA CVE-2025-0921 détectée dans la suite Iconics de Mitsubishi Electric.

Dans cet article, nous décortiquons la nature de la faille, ses impacts concrets, la méthodologie d’exploitation révélée par les chercheurs, ainsi que les mesures de mitigation à mettre en œuvre immédiatement. Vous repartirez avec un guide opérationnel, adapté aux exigences de l’ANSSI et aux bonnes pratiques ISO 27001, pour garantir la continuité de vos activités industrielles.

Comprendre la vulnérabilité SCADA CVE-2025-0921

Contextes d’utilisation du système Iconics Suite

Iconics Suite est une plateforme de supervision largement déployée dans les secteurs automobile, énergétique et manufacturier en France. Elle assure la collecte, le traitement et la visualisation des données provenant de capteurs, automates programmables (PLC) et équipements de terrain. Les versions 10.97.2 et antérieures, qui représentent encore plus de 45 % des installations actives en 2025 (source : Gartner), sont concernées par la faille.

Nature de la faille et vecteur d’attaque

La vulnérabilité SCADA CVE-2025-0921 repose sur une exécution avec privilèges inutiles dans plusieurs services du composant AlarmWorX64 MMX Pager Agent. Concrètement, le fichier de configuration IcoSetup64.ini contient le paramètre SMSLogFile, qui indique le chemin de destination des journaux d’alerte. Un utilisateur local non administrateur peut modifier ce paramètre afin de créer un lien symbolique pointant vers des fichiers critiques du système d’exploitation, comme cng.sys, le pilote de services cryptographiques de Windows.

“La manipulation du chemin de journalisation permet de remplacer un pilote système par du texte de journal, déclenchant un plantage au démarrage”, explique un analyste de Palo Alto Networks.

Cette manipulation conduit à la corruption du pilote, provoquant un boucle de réparation infinie au redémarrage du poste de travail, et donc un déni de service persistant.

Impacts opérationnels du déni de service sur les environnements OT

Conséquences sur la chaîne de production

Lorsque le système de supervision ne parvient plus à collecter ou à afficher les données de capteurs, les opérateurs perdent la visibilité sur les paramètres critiques (température, pression, vitesse). Selon l’ANSSI, une perte de visibilité de 15 minutes vulnérabilité VM2 Node.js suffit à engendrer des arrêts non planifiés pouvant coûter jusqu’à 250 000 € par incident dans le secteur de la production automobile.

Risques pour la continuité d’activité

Outre l’arrêt immédiat, le redémarrage impossible du poste de supervision crée un gouffre de sécurité : les équipes IT doivent intervenir en mode hors‐ligne, souvent avec des outils de récupération non certifiés, augmentant le risque d’introduction de nouvelles vulnérabilités. De plus, la perte de disponibilité perturbe les exigences de conformité du RGPD et du NIS 2, qui imposent la continuité des services essentiels.

“Dans la pratique, chaque minute d’indisponibilité d’un système de contrôle industriel se traduit par une perte de productivité mesurable, voire par des dommages matériels”, souligne un expert de l’ANSSI.

Méthodologie d’exploitation décrite par les chercheurs

Manipulation du fichier IcoSetup64.ini

Les chercheurs ont démontré qu’il suffit d’éditer IcoSetup64.ini avec les droits d’un utilisateur standard, en modifiant la ligne :

SMSLogFile=C:\Windows\System32\cng.sys

Cette simple modification redirige les flux de journalisation du service d’alarme vers le pilote cng.sys.

Création de liens symboliques vers cng.sys

Le système de fichiers Windows autorise la création de symbolic links (symlinks) lorsqu’une autorisation de création de fichiers est accordée dans le répertoire cible. En exploitant la vulnérabilité CVE-2024-7587, qui accorde des permissions excessives au répertoire C:\ProgramData\ICONICS, l’attaquant crée un lien symbolique du type :

mklink C:\Windows\System32\cng.sys C:\ProgramData\ICONICS\malicious.log

Lorsque le service AlarmWorX64 écrit le journal, il écrase le pilote avec du texte de log, rendant le fichier illisible pour le chargeur de démarrage. Au prochain redémarrage, Windows tente de charger le pilote corrompu, échoue, et entre dans un mode de réparation sans fin – un DoS complet.

Stratégies de mitigation et bonnes pratiques

Correctifs officiels et workarounds

Mitsubishi Electric a publié un avis de sécurité le 12 janvier 2026, incluant un correctif qui restreint l’accès au paramètre SMSLogFile aux comptes administrateurs. Le correctif doit être appliqué dans les 30 jours suivant la publication pour rester conforme aux exigences de l’ANSSI.

Gestion des privilèges et durcissement des accès

En plus du correctif, il est recommandé de mettre en œuvre les mesures suivantes :

  • Segmenter le réseau OT du réseau IT à l’aide de firewalls industriels.
  • Appliquer le principe du moindre privilège (Least Privilege) sur les comptes Windows utilisés sur les postes de supervision.
  • Auditer régulièrement les permissions du répertoire C:\ProgramData\ICONICS via des scripts PowerShell.
  • Activer la journalisation avancée des modifications de fichiers système (audit de l’accès aux objets).

Tableau comparatif des actions de mitigation

ActionNiveau d’efficacitéComplexité de mise en œuvreImpact sur la continuité
Application du correctif officielÉlevéFaibleAucun (redémarrage requis)
Restriction des permissions du répertoire ICONICSMoyenModéréNécessite un audit préalable
Segmentation du réseau OTÉlevéÉlevéPeut nécessiter un re‐design d’infrastructure
Implémentation du principe du moindre privilègeMoyenFaibleAucun impact direct

Liste de contrôle rapide (check‐list)

  • Vérifier la version de Iconics Suite (≤ 10.97.2 ?
  • Installer le correctif CVE‐2025‐0921 dès que disponible.
  • Restreindre l’accès en écriture au fichier IcoSetup64.ini.
  • Auditer les permissions du répertoire C:\ProgramData\ICONICS.
  • Mettre en place une surveillance SIEM des événements de création de liens symboliques.

Mise en œuvre – Guide pas à pas pour sécuriser votre Iconics Suite

  1. Inventorier les installations : recensez toutes les stations de supervision exécutant Iconics Suite, en notant les versions et les configurations réseau.
  2. Déployer le correctif : téléchargez le patch depuis le portail de Mitsubishi Electric, planifiez une fenêtre de maintenance et appliquez‐le sur chaque système concerné.
  3. Durcir les permissions :
    • Ouvrez une session administrateur.
    • Exécutez la commande PowerShell suivante pour révoquer les droits d’écriture non nécessaires :
    icacls "C:\ProgramData\ICONICS" /remove *S-1-5-32-545
    • Vérifiez les ACL avec icacls "C:\ProgramData\ICONICS".
  4. Configurer la surveillance : ajoutez une règle dans votre SIEM pour alerter dès qu’un processus crée un lien symbolique vers cng.sys.
  5. Tester la résilience : lancez un test de pénétration interne (red‐team) pour confirmer que la modification du paramètre SMSLogFile ne conduit plus à un DoS.
  6. Documenter et former : consignez les changements dans votre registre de changement (change‐log) et formez les équipes d’exploitation aux bonnes pratiques de gestion des privilèges.

Exemple concret d’application en France

Une usine de fabrication de pièces automobiles située en Auvergne‐Rhône‐Alpes a détecté, en mars 2025, une incapacité soudaine de son tableau de bord de supervision. Après enquête, il s’est avéré que le pilote cng.sys avait été corrompu via la méthode décrite ci‐dessus. En appliquant le correctif CVE‐2025‐0921 et en renforçant les permissions du répertoire ICONICS, l’usine a pu restaurer la disponibilité en moins de deux heures, évitant une perte estimée à 180 000 € de production. Ce cas illustre l’importance d’une réponse rapide et d’une gestion proactive des vulnérabilités.

Conclusion – Synthèse et prochaine action

La vulnérabilité SCADA CVE-2025-0921 expose les systèmes de supervision industriels à un risque de déni de service persistant, susceptible de paralyser des chaînes de production entières. En combinant l’application du correctif officiel, le durcissement des droits d’accès et la mise en place d’une surveillance continue, vous pouvez réduire le vecteur d’attaque à un niveau négligeable et respecter les exigences de l’ANSSI et des normes ISO 27001.

Nous vous recommandons de planifier dès aujourd’hui guide expert cybersécurité Avignon l’audit de vos installations Iconics Suite, d’appliquer le correctif dans les 30 jours et de formaliser la procédure de surveillance des liens symboliques. La disponibilité de vos systèmes industriels n’est pas une simple question technique ; c’est un facteur clé de compétitivité et de conformité réglementaire.