# Multiples vulnérabilités affectent CTEK Chargeportal, exposant l'infrastructure de recharge aux attaques **CTEK**, une entreprise suédoise spécialisée dans les solutions de recharge, est sous le feu des projecteurs suite à la découverte de multiples vulnérabilités dans son logiciel Chargeportal. Ces failles pourraient permettre à des acteurs malveillants d'obtenir un contrôle administratif non autorisé sur les stations de recharge ou de perturber les services via des attaques par déni de service. [Voir CSAF](https://github.com/cisagov/CSAF/blob/develop/csaf_files/OT/white/2026/icsa-26-078-06.json) ## Résumé de l'impact L'exploitation réussie de ces vulnérabilités pourrait entraîner : * Un contrôle administratif non autorisé sur les stations de recharge vulnérables. * La perturbation des services de recharge par des attaques par déni de service. Le produit affecté est : * Chargeportal vers:all/* ## Détails des vulnérabilités Les vulnérabilités, signalées à **CISA** par Khaled Sarieddine et Mohammad Ali Sayed, sont détaillées ci-dessous : ### CVE-2026-25192 : Absence d'authentification pour une fonction critique Les points d'extrémité WebSocket manquent d'une authentification appropriée, permettant aux attaquants d'usurper l'identité des stations de recharge et de manipuler les données. Un attaquant non authentifié peut se connecter au point d'extrémité WebSocket OCPP en utilisant un identifiant de station de recharge connu ou découvert, puis émettre ou recevoir des commandes OCPP en tant que chargeur légitime. Cela peut entraîner une escalade de privilèges, un contrôle non autorisé et une corruption de données. [Voir les détails CVE](https://www.cve.org/CVERecord?id=CVE-2026-25192) **Produit affecté :** * **Vendeur :** CTEK * **Produit :** CTEK Chargeportal: vers:all/* * **Statut :** Connu comme affecté **CWE pertinent :** [CWE-306 Absence d'authentification pour une fonction critique](https://cwe.mitre.org/data/definitions/306.html) ### CVE-2026-31904 : Restriction inappropriée des tentatives d'authentification excessives L'API WebSocket manque de limitation de débit sur les requêtes d'authentification. Cette absence peut permettre aux attaquants de mener des attaques par déni de service en supprimant ou en redirigeant de manière erronée la télémétrie légitime des chargeurs, ou de mener des attaques par force brute pour obtenir un accès non autorisé. [Voir les détails CVE](https://www.cve.org/CVERecord?id=CVE-2026-31904) **Produit affecté :** * **Vendeur :** CTEK * **Produit :** CTEK Chargeportal: vers:all/* * **Statut :** Connu comme affecté **CWE pertinent :** [CWE-307 Restriction inappropriée des tentatives d'authentification excessives](https://cwe.mitre.org/data/definitions/307.html) ### CVE-2026-27649 : Expiration de session insuffisante Le backend WebSocket utilise les identifiants des stations de recharge pour associer de manière unique les sessions, mais autorise plusieurs points d'extrémité à se connecter en utilisant le même identifiant de session. Cette implémentation entraîne des identifiants de session prévisibles et permet le détournement ou l'ombre de session. Cela peut permettre à des utilisateurs non autorisés de s'authentifier en tant qu'autres utilisateurs ou permettre à un acteur malveillant de provoquer une condition de déni de service en submergeant le backend avec des requêtes de session valides. [Voir les détails CVE](https://www.cve.org/CVERecord?id=CVE-2026-27649) **Produit affecté :** * **Vendeur :** CTEK * **Produit :** CTEK Chargeportal: vers:all/* * **Statut :** Connu comme affecté **CWE pertinent :** [CWE-613 Expiration de session insuffisante](https://cwe.mitre.org/data/definitions/613.html) ## Mesures d'atténuation recommandées **CISA** recommande les mesures défensives suivantes : * Minimiser l'exposition réseau pour tous les appareils et systèmes de contrôle. * Placer les réseaux de systèmes de contrôle derrière des pare-feu et les isoler des réseaux d'entreprise. * Utiliser des méthodes d'accès à distance sécurisées comme les VPN, en s'assurant qu'ils sont mis à jour vers la dernière version. * Effectuer une analyse d'impact et une évaluation des risques appropriées avant de déployer des mesures défensives. **CISA** fournit également des bonnes pratiques de sécurité pour les systèmes de contrôle sur la page web ICS à l'adresse cisa.gov/ics. Les organisations observant une activité malveillante suspecte doivent suivre les procédures internes établies et signaler leurs conclusions à **CISA**. ## Historique des révisions * **Date de publication initiale :** 2026-03-19