Un bâtiment allemand a tourné sur ses disjoncteurs

En octobre 2021, un site de taille moyenne appartenant à une société allemande d'ingénierie a perdu ses interrupteurs. Pas la lumière, les interrupteurs. Le personnel se rendait à l'armoire électrique et manoeuvrait les disjoncteurs à la main, parce que les commandes propres au bâtiment ne répondaient plus. La commande des volets a disparu de la même façon. Plusieurs centaines de composants KNX se trouvaient dans les murs et les plafonds sans rien faire du tout, et les trois quarts d'entre eux étaient hors service.

Limes Security, la société autrichienne qui a documenté le cas, a établi ce qui s'était passé. Des attaquants avaient atteint le bus KNX depuis internet, avaient déchargé les appareils, puis avaient eux-mêmes défini la clé BCU. La clé est la serrure du bus. Celui qui la définit la détient. Le propriétaire ne la détenait pas.

Chaque fabricant contacté par l'entreprise a dit la même chose: aucune réinitialisation n'est possible, les appareils sont inutilisables. Le remplacement complet a été chiffré à plus de 100 000 EUR de matériel seul. Limes Security a fini par récupérer la clé en extrayant la mémoire du processeur et en restreignant assez l'espace de recherche par force brute pour que celle-ci aboutisse. Le cas est connu sous le nom de KNXlock, et aucune rançon n'a jamais été demandée.

Ce que la CISA a réellement fait le 15 juillet

Le 15 juillet 2026, la CISA a ajouté CVE-2023-4346 à son catalogue des vulnérabilités activement exploitées, publié dans la version de catalogue 2026.07.16 le 16 juillet à 17:00:15Z. L'échéance de correction est le 29 juillet 2026. Cela fait quatorze jours. D'autres entrées de la même série de juillet ont reçu trois jours.

La faille se situe dans le protocole KNX de la KNX Association, précisément dans Connection Authorization Option 1. Elle est classée CWE-645, un verrouillage de compte excessivement restrictif, et porte un CVSS 7.5 HIGH avec le vecteur AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H. Ce score est réel et non la lecture d'un fournisseur: le NVD tient un score primaire de 7.5 émis par [email protected]. La CISA enregistre l'usage connu dans des campagnes de rançongiciel comme inconnu. Le CVE a été publié le 29 août 2023 et modifié pour la dernière fois le 16 juillet 2026.

Rien du problème de fond n'est nouveau, et le texte qui le décrit ne l'est pas davantage. L'avis ICSA-23-236-01 de la CISA est un document de 2023, signalé par Felix Eberstaller de Limes Security. KNXlock est un incident de 2021. Le seul fait nouveau est l'inscription au KEV et l'horloge qui y est attachée. Ce qui a changé, c'est l'exigence de correction, pas la vulnérabilité.

Il n'y a pas de correctif, et c'est précisément le sujet

Aucune mise à jour logicielle ne corrige ceci. L'avis de la CISA délimite l'exposition aux appareils KNX utilisant Connection Authorization Option 1 Style dans lesquels aucune clé BCU n'est actuellement définie, toutes versions. Lisez-le attentivement. La condition n'est pas une ancienne version de micrologiciel. La condition est un réglage vide.

Le remède est de définir la clé BCU. C'est une action de configuration réalisée pendant la mise en service, dans le fichier de projet de l'intégrateur, sur le bus physique. Elle n'arrive pas par un cycle de correctifs. Elle ne peut pas être poussée depuis une console d'administration. Elle est invisible pour l'outillage que votre équipe de sécurité exploite déjà, parce que cet outillage cherche des versions et que ceci n'est pas un problème de version.

Les métadonnées mêmes de l'avis disent le reste à voix haute. Pays et zones de déploiement: Europe. Siège de l'entreprise: Belgique. Secteur: Critical Manufacturing. Un balayage réalisé par Alpha Strike Labs en 2023 a trouvé plus de 16 000 systèmes potentiellement vulnérables dans la zone DACH. Ce chiffre a trois ans et doit être lu comme un instantané de 2023, pas comme le compte d'aujourd'hui.

Pourquoi elle a survécu trois ans

L'écart est organisationnel, pas technique. Définir une clé BCU revient à celui qui a mis le bâtiment en service. C'est un intégrateur ou un prestataire de maintenance, travaillant depuis un fichier de projet, souvent vieux de plusieurs années, souvent sous un contrat clos à la réception. Cette personne n'est pas dans votre équipe de sécurité et, dans bien des cas, ne répond plus à vos appels.

Le constat atterrit donc dans une file informatique où personne ne détient le remède. L'équipe de sécurité voit l'avis et ne peut pas agir. L'équipe technique du bâtiment peut agir et ne voit jamais l'avis. Trois ans ont passé dans cette couture. MITRE a ajouté la technique à ATT&CK for ICS sous le code T0892, Change Credential, au printemps 2023, ce qui a donné un nom à la méthode sans en donner un au responsable.

Le modèle de perte explique aussi la négligence. La plupart des budgets de sécurité sont bâtis autour d'un paiement ou d'une obligation de protection des données, et ce mode de défaillance n'a ni l'un ni l'autre. Personne n'a demandé d'argent à l'entreprise allemande et aucune donnée personnelle n'a bougé. L'attaquant a simplement défini la clé, les fabricants ont confirmé qu'il n'y avait pas de retour possible, et la facture de matériel a tout de même dépassé 100 000 EUR.

L'échéance ne vous lie pas, l'exposition si

Soyons nets sur le périmètre. La date du 29 juillet 2026 découle de la Binding Operational Directive BOD 26-04 de la CISA et elle lie les agences civiles fédérales américaines. Elle ne lie pas juridiquement un propriétaire européen. Si votre parc est à Francfort ou à Manchester, aucune directive américaine ne vous oblige à quoi que ce soit à cette date.

L'asymétrie est l'histoire. Les bâtiments sont très majoritairement européens, la norme est européenne, son association siège en Belgique, et l'échéance contraignante est américaine. Selon notre lecture, le point d'accroche européen est NIS2 et non la date de la CISA, et nous le présentons comme notre lecture et non comme le droit. Les obligations NIS2 dépendent de votre secteur et de vos devoirs de gestion des risques, et un bus de gestion technique du bâtiment joignable depuis internet est un fait de gestion des risques, quel que soit le calendrier que vous tenez.

L'action tient en une phrase et elle ne va pas à l'informatique. Posez deux questions à votre intégrateur ou à votre prestataire de maintenance: le bus KNX est-il joignable depuis internet, et une clé BCU a-t-elle jamais été définie à la mise en service. Si la réponse à la seconde est non, ou si personne ne retrouve le fichier de projet pour vous répondre, vous êtes dans le périmètre décrit par la CISA et vous êtes à un chemin joignable depuis internet du résultat d'octobre 2021.