Un fuzzer dédié au protocole industriel OPC UA
C’est sortie le 20 Mars de l’Agence, presque timidement mais dans sa trajectoire et stratégie continue de renforcement de la cybersécurité des systèmes d’information industriels, l’ANSSI franchit une nouvelle étape en publiant fuzzysully, un fuzzer ciblant le protocole OPC UA, désormais disponible librement sur son dépôt GitHub.
Un protocole clé pour les infrastructures industrielles
OPC UA (Open Platform Communications Unified Architecture) est un standard de communication interopérable, ouvert et sécurisé, conçu spécifiquement pour les environnements industriels. Il permet aux composants hétérogènes d’un système d’information industriel (SI industriel) – automates, capteurs, SCADA, MES – de communiquer de manière fiable et structurée.
En raison de sa robustesse et de son adaptabilité, ce protocole est largement déployé dans des environnements sensibles, y compris au sein de Systèmes d’Information d’Importance Vitale (SIIV) ou de Systèmes d’Information Essentiels (SIE). L’ANSSI soutient activement son adoption comme base de communication sécurisée pour les filières industrielles critiques.
Fuzzysully : un outil d’évaluation automatisée
Développé par la société Quarkslab à la demande de l’ANSSI, fuzzysully est un fuzzer spécifique au protocole OPC UA. Il permet d’évaluer de manière automatisée la robustesse des implémentations OPC UA en leur soumettant des entrées aléatoires, malformées ou inattendues.
L’objectif est d’identifier :
- des bugs ou erreurs de traitement,
- des vulnérabilités logicielles (ex. : plantages, dépassements de mémoire, comportements imprévus),
- et des défauts de conception qui pourraient compromettre l’intégrité, la disponibilité ou la confidentialité des SI industriels.
Une approche Secure by Design
Cette publication s’inscrit dans une démarche stratégique visant à encourager les pratiques de sécurité proactives dès la phase de développement logiciel. En diffusant cet outil en open source, l’ANSSI cherche à :
- favoriser l’audit et la vérification indépendants des stacks OPC UA,
- renforcer la confiance dans les implémentations open source ou propriétaires,
- accélérer la détection de failles dans les couches protocolaires critiques.
Une invitation à la communauté industrielle et cyber
L’ANSSI n’envisage pas de faire évoluer l’outil, mais elle en assurera le maintien en conditions de sécurité (MCS). L’agence appelle la communauté à s’emparer de fuzzysully, à l’intégrer dans ses processus de validation, et à contribuer à l’amélioration collective de la sécurité du protocole OPC UA.
Cette démarche prolonge l’engagement de l’ANSSI en faveur d’un écosystème open source de qualité, dans lequel les outils produits par l’État peuvent bénéficier directement aux entreprises, éditeurs, intégrateurs, chercheurs et opérateurs critiques.
Les sources :
- ANSSI: https://cyber.gouv.fr/actualites/lanssi-partage-en-open-source-un-outil-de-test-du-protocole-industriel-opc-ua
- Accès au code source : GitHub – ANSSI-FR/fuzzysully https://github.com/ANSSI-FR/fuzzysully
