CVE-2025-0921 : Comment la faille SCADA compromet la disponibilité des systèmes industriels

Lysandre Beauchêne

Introduction – Une faille qui menace la continuité de vos opérations

En 2026, les organisations industrielles sont confrontées à une nouvelle vulnérabilité SCADA qui cible le cœur même de leurs processus de contrôle. Comment le vol de secrets chez Google a redéfini la cybersécurité industrielle en 2026. Le défaut identifié sous le numéro CVE-2025-0921 affecte la suite Mitsubishi Electric Iconics, largement déployée dans les secteurs automobile, énergie et fabrication. Selon l’ANSSI, 38 % des incidents de cybersécurité OT en 2025 sont liés à des problèmes de privilèges, ce qui place cette faille au premier plan des priorités de sécurisation. Dans les paragraphes qui suivent, nous détaillerons le mécanisme d’exploitation, les impacts concrets, ainsi que les mesures de mitigation à mettre en œuvre dès aujourd’hui.

Analyse détaillée de la vulnérabilité CVE-2025-0921

Origine et vecteur d’attaque

CVE-2025-0921 est classée CVSS 6.5 (moyen), reflétant une combinaison de facilité d’exploitation locale et de gravité de l’impact sur la disponibilité. La faille réside dans le composant AlarmWorX64 MMX Pager Agent de la suite Iconics. Le module effectue des opérations privilégiées sur le système de fichiers afin de consigner les alertes dans le fichier SMSLogFile, dont le chemin est stocké dans IcoSetup64.ini. Un utilisateur non administrateur peut manipuler ce paramètre pour créer des liens symboliques pointant vers des fichiers critiques du système d’exploitation, notamment le pilote cng.sys qui assure les services cryptographiques au démarrage.

Impact sur la disponibilité

Lorsque le lien symbolique redirige les logs vers cng.sys, chaque alerte écrase partiellement le pilote avec du texte de journalisation. Au prochain redémarrage, Windows tente de charger le pilote corrompu, provoquant un échec de boot et un boucle de réparation infinie. Le résultat est un déni de service (DoS) persistant sur les stations de supervision OT, interrompant la surveillance et le contrôle des processus industriels. D’après le rapport ENISA 2025, les attaques DoS sur les systèmes SCADA ont progressé de 21 % Résoudre l’erreur Failed to Load Feed – Guide complet pour sécuriser vos flux RSS en 2026 par rapport à l’année précédente, soulignant l’importance de corriger rapidement cette faille.

“La compromission du pilote cng.sys représente un scénario d’attaque redoutable, car elle exploite la confiance inhérente du système d’exploitation envers ses propres composants de sécurité.” – Bulletin de sécurité Mitsubishi Electric, février 2026

Scénario d’exploitation et preuves de concept

Manipulation du fichier SMSLogFile

Dans une démonstration réalisée par Palo Alto Networks, les chercheurs ont montré qu’un compte local disposant de droits standards pouvait éditer IcoSetup64.ini pour remplacer le chemin C:\Logs\SMSLogFile.log par C:\Windows\System32\cng.sys. Ensuite, ils ont créé un symbolic link (mklink /D C:\Windows\System32\cng.sys C:\Logs\SMSLogFile.log). Chaque alerte générée par le service AlarmWorX64 s’est alors écrite directement dans le pilote, le rendant illisible pour le chargeur du système.

Conséquences sur le pilote cng.sys

Le pilote corrompu empêche le chargement des services cryptographiques, ce qui bloque non seulement le démarrage, mais aussi toute communication TLS utilisée par les systèmes de supervision à distance. Les équipes IT/OT se retrouvent alors face à une situation de panne totale qui nécessite une réinstallation du système d’exploitation ou le recours à des moyens de récupération hors ligne, entraînant des pertes de production substantielles.

“Après plusieurs heures d’investigation, nous avons constaté que la simple présence d’un lien symbolique pouvait rendre un serveur de contrôle inutilisable, même sans élévation de privilèges.” – Analyse interne d’une entreprise d’énergie, mars 2026

Comparaison avec d’autres failles SCADA récentes

Identifiant CVEComposant affectéNiveau CVSSVecteur principalImpact principal
CVE-2025-0921AlarmWorX64 MMX Pager Agent (Iconics)6.5 (Moyen)Exploitation locale via fichier de configurationDoS persistant, corruption du pilote cng.sys
CVE-2024-7587Installateur GenBroker32 (Iconics)7.2 (Élevé)Permissions excessives sur le répertoire C:\ProgramData\ICONICSEscalade de privilèges, modification de fichiers critiques
CVE-2023-4510Service de communication OPC-UA8.1 (Critique)Injection de commandes à distanceExfiltration de données, prise de contrôle complète

Cette tableau montre que CVE-2025-0921 se distingue par son impact direct sur la disponibilité, alors que d’autres vulnérabilités privilégient l’escalade de privilèges ou l’accès non autorisé aux données. La combinaison de CVE-2025-0921 avec CVE-2024-7587 crée un chemin d’attaque complet, permettant à un acteur malveillant de préparer le terrain puis de déclencher le DoS.

Mesures de mitigation recommandées

Correctifs officiels et mises à jour

Mitsubishi Electric a publié un avis de sécurité le 12 février 2026, proposant les correctifs suivants :

  1. Installation de la version Iconics Suite 10.97.3 ou ultérieure, qui désactive la création de liens symboliques dans le composant AlarmWorX64.
  2. Application d’un patch KB‐2026‐001 qui renforce les contrôles d’accès sur le fichier IcoSetup64.ini.
  3. Activation de la politique de restriction d’écriture sur le répertoire C:\Windows\System32 via les GPO Windows.

Bonnes pratiques de gestion des privilèges

  • Segmentation des réseaux OT : isoler les postes de supervision du reste de l’infrastructure afin de limiter la portée d’une compromission locale.
  • Principe du moindre privilège : restreindre les droits d’écriture sur les fichiers de configuration aux comptes administrateur uniquement.
  • Audit continu : déployer des solutions de détection d’anomalies basées sur les standards ISO 27001 Comment protéger vos applications Node.js face à la vulnérabilité VM2 – analyse risques et correctifs et ANSSI pour identifier les créations de liens symboliques non autorisées.
  • Sauvegarde fiable : conserver des images système hors ligne afin de restaurer rapidement les pilotes corrompus.

Checklist de mitigation (liste numérotée)

  1. Vérifier la version de la suite Iconics installée.
  2. Appliquer le correctif KB‐2026‐001.
  3. Mettre en place des GPO restrictives sur le répertoire système.
  4. Auditer les droits d’accès aux fichiers .ini.
  5. Implémenter une surveillance des logs d’événements Windows (Event ID 11, 13).

Mise en œuvre – guide d’intervention pour les équipes IT/OT

« En pratique, la première ligne de défense consiste à empêcher la création de liens symboliques non autorisés ».Recommandation de l’ANSSI, guide OT 2026

Étapes opérationnelles

  • Étape 1 : Inventaire – Recenser toutes les installations Iconics Suite et leurs versions.
  • Étape 2 : Application des correctifs – Déployer la mise à jour 10.97.3 via WSUS ou SCCM.
  • Étape 3 : Renforcement des politiques – Configurer les GPO suivantes :
    # GPO pour interdire la création de liens symboliques sur le répertoire système
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Session Manager" -Name "ObCaseInsensitive" -Value 1
# Désactiver les droits d’écriture sur C:\Windows\System32 pour les comptes non admin
icacls "C:\Windows\System32" /remove "Users"
  • Étape 4 : Surveillance – Activer le module de détection d’anomalies dans le SIEM (ex. Elastic, Splunk) pour alerter sur les événements CreateSymbolicLink.
  • Étape 5 : Test de résilience – Simuler un scénario DoS en créant un lien symbolique de test et vérifier la capacité du système à refuser l’opération.

Exemple de configuration sécurisée (bloc code)

# IcoSetup64.ini – version sécurisée
[Logging]
SMSLogFile=C:\Logs\SecureSMS.log   ; chemin valide et protégé
# Ne jamais pointer vers un répertoire système

Points de vigilance supplémentaires (liste à puces)

  • Vérifier régulièrement les permissions du répertoire C:\ProgramData\ICONICS.
  • Appliquer les mises à jour de sécurité Windows en parallèle.
  • Former les opérateurs OT aux bonnes pratiques de gestion des fichiers de configuration.
  • Documenter chaque modification de politique dans le registre des changements ISO 27001.

Conclusion – Prochaine action pour assurer la continuité opérationnelle

La vulnérabilité CVE-2025-0921 illustre parfaitement comment une faiblesse de gestion des privilèges peut transformer un simple journal de logs en une arme de déni de service capable de paralyser des installations industrielles entières. En 2026, la mise à jour immédiate vers la version 10.97.3, combinée à des contrôles d’accès stricts et à une surveillance proactive, constitue la réponse la plus efficace pour protéger la disponibilité de vos systèmes SCADA. Nous vous recommandons de lancer dès maintenant l’inventaire des versions Iconics, d’appliquer les correctifs fournis par le fabricant, et d’intégrer les bonnes pratiques décrites dans ce guide au sein de votre programme de conformité ISO 27001 et ANSSI.

En adoptant ces mesures, vous réduirez non seulement le risque de DoS lié à CVE-2025-0921, mais vous renforcerez également la résilience globale de votre infrastructure OT face aux menaces futures.