ICS

Selon Dragos, ce rapport de menace couvre le T3 2025 (juillet-septembre) et analyse les tendances ransomware visant les environnements ICS/OT et les systèmes IT qui soutiennent les opérations industrielles. • Volume et cibles : Dragos recense 742 incidents ransomware (+) touchant des entités industrielles, avec l’Amérique du Nord en tête, suivie de l’Europe puis de l’Asie (hausse en Thaïlande). Le secteur manufacturier concentre 72% des cas (532), dont la construction (142) comme sous-secteur le plus affecté. D’autres secteurs en hausse incluent gouvernement (35) et électrique/renouvelables (16). Les impacts montrent comment des intrusions IT peuvent perturber la production et la logistique sans toucher directement les réseaux ICS. ...

Selon Socket (Threat Research Team), neuf paquets NuGet publiés entre 2023 et 2024 sous l’alias « shanhai666 » contiennent du code malveillant à activation temporisée visant des applications .NET et des systèmes industriels; 9 488 téléchargements sont recensés et, bien que signalés à NuGet le 5 novembre 2025, les paquets étaient encore accessibles au moment de la publication. • Nature de l’attaque: campagne de supply chain utilisant des méthodes d’extension C# pour intercepter de façon transparente les opérations BD/PLC. Les packages sont 99% fonctionnels pour inspirer confiance et masquer ~20 lignes de charge malveillante. Les déclencheurs rendent l’attaque probabiliste (20% par opération) et temporellement différée (2027–2028 pour BD), compliquant la détection et l’attribution. ...

Source: Socket (blog de recherche). L’équipe Threat Research de Socket a identifié neuf paquets NuGet malveillants publiés sous l’alias « shanhai666 » (2023–2024), dont l’un cible les systèmes de contrôle industriels (ICS). Signalés à NuGet le 5 novembre 2025, ils totalisent 9 488 téléchargements et étaient toujours en ligne à la publication. • Nature de l’attaque: compromission de la chaîne d’approvisionnement via des paquets NuGet fournissant 99% de code fonctionnel pour masquer ~20 lignes de charge malveillante. Techniques incluant typosquatting (notamment « Sharp7Extend » autour de la bibliothèque légitime Sharp7), bundling de bibliothèques légitimes, méthodes d’extension C# pour intercepter les opérations, déclenchement temporel (2027–2028) et exécution probabiliste (20% d’arrêts). Des certificats Microsoft contrefaits et des métadonnées incohérentes d’auteur sont signalés. ...

Selon BleepingComputer, le Centre canadien pour la cybersécurité a alerté que des hacktivistes ont à plusieurs reprises compromis des systèmes d’infrastructures critiques au Canada, parvenant à modifier des contrôles industriels d’une manière qui aurait pu conduire à des conditions dangereuses. ⚠️ Points clés: Type d’attaque: intrusions par des hacktivistes. Cibles: systèmes d’infrastructures critiques à l’échelle du Canada. Impact: modification de contrôles industriels avec risque de conditions dangereuses. Fréquence: incidents survenus à plusieurs reprises. TTPs (si mentionnés): ...

CYFIRMA publie un rapport sectoriel sur 90 jours détaillant l’activité cyber dans l’énergie & utilities. Panorama sectoriel 📈 Le secteur se classe 12e-13e sur 14 en volume d’activité malveillante. Des campagnes APT ont touché 3 opérations sur 22 observées (14%), dans 17 pays et via des vecteurs variés. Les incidents de ransomware ont augmenté de 54% pour atteindre 43 victimes, le secteur restant toutefois relativement moins prioritaire pour les attaquants en raison de sa dépendance à l’OT. L’activité souterraine liée au secteur est restée stable (2,27% de part), dominée par les sujets fuites de données et exfiltrations. ...

SecurityWeek publie un récapitulatif des avis Patch Tuesday d’août 2025 pour l’ICS/OT, avec des correctifs et mitigations émis par Siemens, Schneider Electric, Honeywell, Aveva, ABB et Phoenix Contact, ainsi que des avis de la CISA. Plusieurs failles sont critiques ou à haute sévérité, exposant à l’exécution de code, à l’accès non autorisé, à la fuite de données et aux DoS. • Siemens a publié 22 nouveaux avis, dont un pour la faille critique CVE-2025-40746 dans Simatic RTLS Locating Manager, exploitable par un attaquant authentifié pour une exécution de code avec privilèges Système ⚠️. Des failles à haute sévérité touchent aussi Comos (exécution de code), Siemens Engineering Platforms (exécution de code), Simcenter (crash ou exécution de code), Sinumerik (accès distant non autorisé), Ruggedcom (contournement d’authentification avec accès physique), Simatic (exécution de code), Siprotect (DoS) et Opcenter Quality (accès non autorisé). Des vulnérabilités issues de composants tiers sont également traitées (OpenSSL, Linux kernel, Wibu Systems, Nginx, Nozomi Networks, SQLite). Des correctifs existent pour beaucoup de failles, tandis que seules des mitigations ou contournements sont disponibles pour d’autres. Des problèmes de sévérité moyenne/faible sont résolus dans Simotion Scout, Siprotec 5, Simatic RTLS Locating Manager, Ruggedcom ROX II et Sicam Q. ...

SecurityWeek rapporte que Rockwell Automation a publié plusieurs avis de sécurité détaillant des vulnérabilités de sévérité critique et élevée affectant divers produits industriels, et que la CISA a relayé ces informations. 🛠️ Correctifs critiques FactoryTalk Linx Network Browser — CVE-2025-7972 : faille permettant de désactiver la validation de jeton FTSP, pouvant être utilisée pour créer, mettre à jour et supprimer des pilotes FTLinx. Micro800 (PLCs) — correction de trois vulnérabilités plus anciennes liées à Azure RTOS (open source RTOS) pouvant mener à de la prise de contrôle à distance (RCE) et à de l’élévation de privilèges, ainsi qu’un correctif pour une vulnérabilité de déni de service (DoS) distincte. ControlLogix — correctif pour une RCE identifiée sous CVE-2025-7353. ⚠️ Vulnérabilités de sévérité élevée ...

SecurityAffairs rapporte que la Police de sécurité norvégienne (PST) attribue à des hacktivistes pro‑russes la prise de contrôle d’un barrage en avril 2025 en Norvège, une action qualifiée de démonstrative visant à influencer et à semer l’inquiétude plutôt qu’à détruire. Le 7 avril, des attaquants ont pris la main sur un barrage à Bremanger (ouest de la Norvège) et ont ouvert une vanne d’évacuation, libérant environ 500 litres d’eau par seconde pendant quatre heures, avant d’être stoppés. Aucune victime n’a été signalée. L’incident met en lumière la sensibilité de l’infrastructure énergétique hydraupouvoir du pays. 💧⚡ ...

L’article publié sur cyberveille.decio.ch informe sur les derniers avis de sécurité publiés par Siemens, Schneider Electric et Aveva pour Patch Tuesday de juin 2025, concernant des vulnérabilités dans des solutions industrielles. Siemens a publié six nouveaux avis, dont le plus critique concerne une vulnérabilité de CVE-2025-40585 dans les solutions Siemens Energy Services utilisant le Elspec G5 Digital Fault Recorder (G5DFR). Cette faille de crédentiels par défaut permettrait à un attaquant de prendre le contrôle à distance du composant G5DFR. Des mises à jour sont en cours pour les Simatic S7-1500 CPUs affectés par des vulnérabilités dans le sous-système GNU/Linux. Des problèmes de gravité moyenne sont également signalés dans les dispositifs de communication industrielle utilisant le Sinec OS. ...