Avis du CERT-FR

Objet: Vulnérabilité dans le système SCADA Siemens S7

Gestion du document

Référence	CERTA-2013-AVI-072
Titre	Vulnérabilité dans le système SCADA Siemens S7
Date de la première version	29 janvier 2013
Date de la dernière version	29 janvier 2013
Source(s)	Bulletin d'alerte Siemens 67385048 du 23 janvier 2013
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

Atteinte à la confidentialité des données.

Systèmes affectés

Siemens S7

Résumé

Une vulnérabilité a été identifiée dans Siemens S7. Elle concerne le chiffrement lors de l'échange de mots de passe et peut, dans certaines conditions, mener un utilisateur malintentionné à obtenir le mot de passe en clair.

Contournement provisoire

Le CERTA recommande de totalement déconnecter les systèmes concernés d'Internet. Il est également conseillé de limiter les accès aux équipements au moyen de réseaux privés virtuels (VPN) et pare-feux.

Documentation

Bulletin d'alerte Siemens 67385048 du 23 janvier 2013 :

http://support.automation.siemens.com/WW/llisapi.dll?func=cslib.csinfo&lang=en&objid=67385048&caller=view

Bulletin d'alerte ICS-CERT 13-016-02 du 16 janvier 2013 :

http://www.us-cert.gov/control_systems/pdf/ICS-ALERT-13-016-02.pdf

Guide de sécurité des systèmes industriels :
```
http://www.ssi.gouv.fr/systemsindustriels
```

Gestion détaillée du document

le 29 janvier 2013: version initiale.