La Cybersecurity and Infrastructure Security Agency (CISA) vient d’ajouter la vulnérabilité stockée de type XSS identifiée sous le code CVE-2021-26829 à sa liste officielle des menaces actives. Cette faille touche le logiciel OpenPLC ScadaBR, une plateforme largement employée dans le contrôle industriel. Son exploitation met directement en péril la sécurité informatique des systèmes concernés, illustrant les défis croissants en matière de protection des infrastructures critiques face aux cyberattaques.
Comprendre la vulnérabilité XSS dans OpenPLC ScadaBR
La vulnérabilité CVE-2021-26829 permet l’injection de scripts malveillants dans l’interface de gestion du logiciel OpenPLC ScadaBR, présent sur les systèmes Windows (jusqu’à la version 1.12.4) et Linux (jusqu’à la version 0.9.1). Cette faille de type cross-site scripting stocké se manifeste via la page system_settings.shtm.
Les données non filtrées offrent un vecteur d’attaque aux hackers, capables de modifier l’affichage du HMI – interface homme-machine – afin de désactiver les logs et les alarmes, ce qui facilite leur intrusion invisible.
En septembre 2025, un groupe hacktiviste pro-russe nommé TwoNet a démontré l’exploitation en conditions réelles de cette faille, visant un piège simulant une station de traitement des eaux. Leur objectif apparent : perturber la gestion automatisée en substituant un message « Hacked by Barlati » à l’accueil du système. Cette attaque a duré à peine plus d’une journée, illustrant la rapidité d’une compromission via des identifiants par défaut combinés à cette vulnérabilité XSS.
L’intégration de CVE-2021-26829 dans la liste des menaces de la CISA
Face à l’utilisation active de cette faille, la CISA a formalisé son inclusion dans sa liste des menaces clés, obligatoire pour toutes les agences fédérales américaines. La mise en conformité impose une correction des systèmes avant le 19 décembre 2025. Ce signalement souligne la montée en puissance des cyberattaques ciblant les infrastructures industrielles via des failles longtemps sous-estimées.
Le recours à des failles comme CVE-2021-26829 démontre aussi la nécessité d’une architecture sécurisée incluant un pare-feu d’application web efficace pour filtrer ces attaques. Renforcer la protection passe donc tout autant par la correction logicielle que par la surveillance continue des flux, tout en adéquation avec la menace d’injection de code indirecte.
Implications pour le milieu industriel et la cybersécurité opérationnelle
Le cas d’OpenPLC ScadaBR illustre combien les environnements industriels restent vulnérables, du fait de logiciels souvent déployés avec des configurations par défaut ou obsolètes. L’exemple de TwoNet, qui n’a pas essayé d’escalader les privilèges mais s’est concentré sur le plan applicatif, montre que le volet web des systèmes SCADA doit être rigoureusement surveillé.
Les exploitations récentes poussent à considérer la cybersécurité comme un enjeu dynamique. Les acteurs malveillants adaptent des outils grand public comme Nuclei, déployant sans relâche leurs attaques sur des infrastructures stratégiques. La sensibilisation des équipes IT et la formation des experts en sécurité devient une ligne de défense cruciale pour neutraliser ces menaces.
La coordination entre la CISA et les industriels rappelle combien la sécurité informatique ne peut être qu’une démarche collective et anticipative. Cette anticipation est également soutenue par des protocoles de tests de vulnérabilités externes, notamment dans le cadre des applications SaaS.
