Netcrook Logo
👤 AUDITWOLF
🗓️ 04 Dec 2025   🌍 Europe

Déverrouillé et sans protection : comment une faille critique expose les réseaux de compteurs intelligents à des intrus invisibles

Une vulnérabilité récemment découverte dans les appareils Iskra iHUB laisse les réseaux de services publics intelligents totalement ouverts à une prise de contrôle à distance - sans correctif en vue.

En bref

  • La CISA alerte sur une faille de sécurité critique (CVE-2025-13510) dans les appareils Iskra iHUB et iHUB Lite.
  • La vulnérabilité permet aux attaquants de contourner l’authentification et de prendre le contrôle total à distance.
  • Toutes les versions de ces passerelles de comptage intelligent sont concernées ; aucun correctif du fournisseur n’est disponible à ce jour.
  • L’exploitation pourrait perturber les réseaux de services publics, permettre un contrôle persistant et faciliter d’autres attaques.
  • Le fournisseur, Iskra, n’a pas répondu aux demandes de coordination, laissant les utilisateurs exposés.

Des portes ouvertes dans le réseau numérique des services publics

Imaginez le réseau électrique d’une ville, ses veines vibrant de données plutôt que de sang. Imaginez maintenant que les verrous de ces veines aient disparu du jour au lendemain. C’est la réalité à laquelle sont confrontés des milliers de fournisseurs de services publics dans le monde après que l’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a tiré la sonnette d’alarme sur une vulnérabilité critique dans les appareils iHUB et iHUB Lite d’Iskra - véritables gardiens numériques des systèmes intelligents d’énergie et d’eau.

Comment fonctionne la faille : ni serrure, ni clé

La faille, répertoriée sous le nom CVE-2025-13510 et notée à 9,1 sur l’échelle CVSS, presque au maximum, se résume à l’absence de verrou sur le panneau de gestion web de l’appareil. En termes simples : toute personne trouvant ce panneau en ligne peut y accéder sans identifiant ni mot de passe. Une fois à l’intérieur, les attaquants peuvent modifier les paramètres, télécharger des mises à jour malveillantes, voire détourner toute l’infrastructure connectée - comme un cambrioleur qui ne se contente pas d’entrer dans une maison, mais la redécore et change les serrures derrière lui.

L’histoire se répète : la montée des vulnérabilités IoT

Ce n’est pas la première fois qu’une faille critique dans des appareils connectés fait la une. En 2016, le botnet Mirai avait détourné des milliers d’appareils « Internet des objets » (IoT) non sécurisés, paralysant des sites web et services dans le monde entier. Plus récemment, des vulnérabilités dans des compteurs intelligents et des systèmes de contrôle industriels ont été exploitées pour des rançongiciels, de l’espionnage, voire du sabotage. Ce qui rend le cas Iskra particulièrement alarmant, c’est l’absence totale d’authentification - une erreur de sécurité basique qui rappelle les débuts d’internet, et qui hante aujourd’hui les infrastructures modernes.

Absence de réponse du fournisseur : un silence dangereux

Peut-être plus inquiétant encore est le silence d’Iskra. Selon la CISA, l’entreprise n’a pas répondu aux demandes de coordination ni fourni de calendrier pour un correctif. Faute de correctif officiel, les services publics et municipalités doivent se débrouiller seuls, contraints d’isoler les appareils vulnérables d’internet ou de risquer des brèches catastrophiques. La vulnérabilité a été signalée pour la première fois par le chercheur en sécurité Souvik Kandar, soulignant le rôle crucial des experts indépendants dans la découverte des faiblesses systémiques.

Les enjeux : bien plus que des données

Le danger ne se limite pas au vol de données. Les attaquants exploitant cette faille pourraient manipuler les approvisionnements en énergie ou en eau, perturber les systèmes de facturation, ou créer des points d’ancrage pour des attaques plus profondes sur des infrastructures critiques. Alors que le comptage intelligent devient l’épine dorsale des services publics modernes, les enjeux commerciaux - et les conséquences géopolitiques potentielles - ne cessent de croître. Sous la pression de la modernisation, la course à la connectivité ne doit pas se faire au détriment de la sécurité fondamentale.

L’affaire Iskra iHUB est un rappel brutal : à l’ère des services publics numériques, la plus petite porte laissée ouverte peut inviter le pire des intrus. Tant que les fournisseurs ne considéreront pas la sécurité comme une base, et non comme une réflexion après coup, nos villes intelligentes resteront vulnérables à des prises de contrôle silencieuses et invisibles.

WIKICROOK

  • Authentification : L’authentification est le processus de vérification de l’identité d’un utilisateur avant de lui permettre d’accéder à des systèmes ou des données, à l’aide de méthodes telles que les mots de passe ou la biométrie.
  • Passerelle de comptage intelligent : Une passerelle de comptage intelligent collecte et transmet de manière sécurisée les données de consommation d’énergie de plusieurs compteurs, permettant aux fournisseurs de surveiller et de gérer efficacement les réseaux électriques.
  • CVSS (Common Vulnerability Scoring System) : Le CVSS est un système standardisé pour évaluer la gravité des vulnérabilités de sécurité, attribuant des scores de 0 (faible) à 10 (critique) afin de guider les priorités de réponse.
  • Micrologiciel : Le micrologiciel est un logiciel spécialisé stocké dans des appareils matériels, gérant leurs opérations de base et leur sécurité, et leur permettant de fonctionner correctement.
  • Internet des objets (IoT) : L’Internet des objets (IoT) connecte des appareils du quotidien comme des caméras ou des thermostats à internet, leur permettant de partager des données et d’automatiser des tâches.
Smart Meters Cybersecurity Flaw Iskra iHUB
AUDITWOLF AUDITWOLF
Cyber Audit Commander
← Back to news