Netcrook Logo
👤 SHADOWFIREWALL
🗓️ 27 Apr 2026  

Intrusion industrielle : des vulnérabilités en chaîne exposent les usines contrôlées par CODESYS à des prises de contrôle furtives

Les attaquants combinent plusieurs failles pour détourner les contrôleurs industriels, risquant sabotage et chaos opérationnel.

Imaginez un atelier où les machines fonctionnent avec précision, où les vannes s’ouvrent et se ferment à la demande, et où les bras robotiques ne ratent jamais une opération - du moins en apparence. Sous ce calme orchestré, une menace silencieuse a rôdé jusqu’à récemment : un trio de vulnérabilités dans le runtime CODESYS Control, largement utilisé, désormais découvertes et corrigées, qui auraient pu permettre à des attaquants de prendre le contrôle de systèmes industriels critiques avec une facilité glaçante.

Anatomie d’une attaque industrielle furtive

La récente découverte des laboratoires Nozomi Networks a fait l’effet d’une onde de choc dans la communauté de la cybersécurité industrielle. Leurs chercheurs ont révélé qu’en enchaînant habilement trois failles nouvellement identifiées - CVE-2025-41658, CVE-2025-41659 et CVE-2025-41660 - un attaquant disposant de privilèges même limités pouvait remplacer le code d’automatisation de confiance par une version malveillante, implantant ainsi une porte dérobée avec un contrôle administratif sur l’appareil industriel et son système d’exploitation sous-jacent.

CODESYS, pilier de l’automatisation dans des secteurs allant de l’énergie à la fabrication, permet à des ordinateurs ordinaires de servir de cerveau aux processus industriels. Les vulnérabilités nouvellement exposées visaient le cœur même de ces opérations, permettant une attaque en plusieurs étapes :

  1. Capture d’identifiants : L’attaquant obtient des identifiants de niveau Service - via des mots de passe faibles, des postes compromis, ou en exploitant CVE-2025-41658 pour extraire des hachages de mots de passe.
  2. Téléchargement de l’application : Avec cet accès, il télécharge la sauvegarde de l’application du PLC, stockée sous forme de fichier ZIP avec une vérification d’intégrité CRC32 faible.
  3. Contournement cryptographique : En utilisant CVE-2025-41659, l’attaquant extrait les clés cryptographiques, contournant ainsi les protections comme la signature ou le chiffrement du code.
  4. Injection malveillante : Le binaire est modifié - par exemple, avec une porte dérobée de niveau root - puis reconditionné pour paraître légitime.
  5. Restauration furtive : En exploitant CVE-2025-41660, l’application modifiée est téléversée à nouveau sur l’appareil.
  6. Exécution : La porte dérobée s’active au redémarrage de l’appareil, laissant aux attaquants un contrôle total.

Les conséquences sont graves : les attaquants pourraient manipuler les processus industriels, falsifier les données des capteurs, contourner les contrôles de sécurité, voire saboter les équipements - des risques qui passent du domaine numérique au monde physique.

Heureusement, après une divulgation responsable, CODESYS a rapidement corrigé les vulnérabilités et rendu obligatoire la signature du code pour toutes les applications PLC. Les spécialistes de la sécurité exhortent désormais les organisations à appliquer les correctifs sans délai, à renforcer la gestion des identifiants, à segmenter leurs réseaux opérationnels et à surveiller toute activité inhabituelle pour prévenir toute exploitation.

Conclusion : Les enjeux majeurs de la sécurité industrielle

Cet incident rappelle brutalement que les technologies opérationnelles sont une cible de choix pour des cyberattaques de plus en plus sophistiquées. À mesure que les mondes numérique et physique convergent, la résilience de nos usines, centrales et infrastructures dépend non seulement des mises à jour logicielles - mais aussi d’une culture de vigilance et de défense proactive.

WIKICROOK

  • Soft PLC : Un soft PLC est un contrôleur logiciel qui imite les PLC matériels, s’exécutant sur des ordinateurs standards pour automatiser les processus industriels et accroître la flexibilité.
  • CRC32 : CRC32 est une méthode de somme de contrôle rapide pour détecter les erreurs accidentelles de fichiers, mais elle n’est pas sécurisée contre les manipulations ou attaques intentionnelles.
  • Root Shell : Un root shell donne à l’utilisateur un contrôle administratif total sur les systèmes Unix ou Linux, permettant l’exécution de commandes sans restriction et la modification du système. À utiliser avec précaution.
  • Signature de code : La signature de code est le processus de signature numérique d’un logiciel pour prouver qu’il provient d’une source fiable et n’a pas été altéré.
  • Technologie opérationnelle (OT) : La technologie opérationnelle (OT) regroupe les systèmes informatiques qui contrôlent les équipements et processus industriels, les rendant souvent plus vulnérables que les systèmes IT traditionnels.
CODESYS vulnerabilities industrial cybersecurity operational technology
SHADOWFIREWALL SHADOWFIREWALL
Adaptive Defense Architect
← Back to news