Une vulnérabilité a été identifiée dans **Schneider Electric**'s EcoStruxure™ Machine Expert HVAC, un logiciel de programmation utilisé pour les contrôleurs logiques **Modicon** M171-M172. Le non-respect des étapes de remédiation nécessaires pourrait exposer des informations sensibles, entraînant potentiellement la divulgation de code source protégé et une perte de confidentialité subséquente. [Voir CSAF](https://github.com/cisagov/CSAF/blob/develop/csaf_files/OT/white/2026/icsa-26-148-07.json) ## Produits Affectés La vulnérabilité affecte les versions suivantes : * EcoStruxure™ Machine Expert HVAC versions antérieures à 1.10.0 ### Détails de la Vulnérabilité | CVSS | Vendor | Equipment | Vulnerabilities | | :----- | :----------------- | :------------------------------------------------------------------------ | :----------------------------------------------------- | | v3 5.5 | Schneider Electric | Schnieider Electric EcoStruxure Machine Expert HVAC (SEVD-2026-132-01) | Cleartext Storage of Sensitive Information | ### Contexte * **Secteurs d'infrastructures critiques :** Chimie, Fabrication critique, Énergie, Eau et eaux usées * **Pays/Régions de déploiement :** Mondial * **Siège social de l'entreprise :** France --- ## Vulnérabilités ### **CVE-2026-6332** : Stockage en clair d'informations sensibles Cette vulnérabilité (CWE-312) permet la divulgation d'informations sensibles, pouvant potentiellement conduire à la révélation de code source protégé et à une perte de confidentialité. Cela peut se produire lorsqu'un attaquant autorisé accède au code source pour le modifier ou le compiler. [Voir les détails du CVE](https://www.cve.org/CVERecord?id=CVE-2026-6332) --- #### Produits Affectés **Schnieider Electric EcoStruxure Machine Expert HVAC (SEVD-2026-132-01)** * **Fabricant :** Schneider Electric * **Version du produit :** Ecostruxure™ Machine Expert HVAC Versions antérieures à 1.10.0 * **Statut du produit :** corrigé, connu_affecté * **CWE pertinent :** [CWE-312 Stockage en clair d'informations sensibles](https://cwe.mitre.org/data/definitions/312.html) --- ## Recommandations **Schneider Electric** et **CISA** recommandent les bonnes pratiques de sécurité suivantes pour atténuer le risque : * Localiser les réseaux de systèmes de contrôle et de sécurité ainsi que les appareils distants derrière des pare-feux et les isoler du réseau d'entreprise. * Installer des contrôles physiques pour empêcher le personnel non autorisé d'accéder aux systèmes de contrôle industriel et de sécurité. * Placer tous les contrôleurs dans des armoires verrouillées et éviter de les laisser en mode "Programmation". * Ne jamais connecter le logiciel de programmation à un réseau autre que celui prévu pour cet appareil. * Analyser toutes les méthodes d'échange de données mobiles (CD, clés USB, etc.) avant de les utiliser sur des terminaux connectés à ces réseaux. * Minimiser l'exposition réseau de tous les appareils du système de contrôle et s'assurer qu'ils ne sont pas accessibles depuis Internet. * Lorsque l'accès à distance est requis, utiliser des méthodes sécurisées, telles que les Réseaux Privés Virtuels (**VPN**). S'assurer que les VPN sont mis à jour vers la version la plus récente. Pour plus d'informations, consultez le document **Schneider Electric** [Recommandations en matière de cybersécurité](https://www.se.com/us/en/download/document/7EN52-0390/). --- ## Informations Complémentaires Pour plus de détails et d'assistance sur la protection de votre installation, contactez votre représentant local **Schneider Electric** ou les Services de cybersécurité industrielle de **Schneider Electric** : [https://www.se.com/ww/en/work/solutions/cybersecurity/](https://www.se.com/ww/en/work/solutions/cybersecurity/). Pour plus d'informations relatives à la cybersécurité dans les produits de **Schneider Electric**, visitez la page du portail de support cybersécurité de l'entreprise : [https://www.se.com/ww/en/work/support/cybersecurity/overview.jsp](https://www.se.com/ww/en/work/support/cybersecurity/overview.jsp)