Une porte dérobée non documentée découverte dans une puce Bluetooth utilisée par des milliards d’appareils

 (bleepingcomputer.com)
3 points par GN⁺ 2025-03-09 | 1 commentaires | Partager sur WhatsApp

Découverte d’une porte dérobée dans une puce Bluetooth

  • Porte dérobée dans la puce ESP32 : une « porte dérobée » non documentée a été découverte dans le microcontrôleur ESP32 du fabricant chinois Espressif. En 2023, cette puce était utilisée dans plus d’un milliard d’appareils. Cette porte dérobée permet d’usurper des appareils de confiance, d’autoriser un accès non autorisé aux données, de se déplacer vers d’autres appareils du réseau ou d’établir une persistance à long terme.

  • Contexte de la découverte : les chercheurs espagnols Miguel Tarascó Acuña et Antonio Vázquez Blanco ont découvert cette porte dérobée et l’ont présentée à la RootedCON de Madrid. Elle pourrait permettre d’infecter durablement des appareils sensibles comme des téléphones mobiles, des ordinateurs, des serrures intelligentes ou des équipements médicaux.

Une porte dérobée découverte dans l’ESP32

  • Recherche sur la sécurité Bluetooth : l’intérêt pour la recherche sur la sécurité Bluetooth a diminué, mais cela ne signifie pas que le protocole ou ses implémentations sont devenus plus sûrs. La plupart des attaques reposent sur des outils qui ne fonctionnent pas, ne sont pas compatibles avec le matériel courant ou utilisent d’anciens outils incompatibles avec les systèmes modernes.

  • Développement d’un nouvel outil : Tarlogic a développé un nouveau pilote USB Bluetooth en C, indépendant du matériel et multiplateforme, permettant d’accéder directement au matériel sans dépendre des API spécifiques aux systèmes d’exploitation. Cela a permis de découvrir des commandes cachées spécifiques au fournisseur (opcode 0x3F) dans le firmware Bluetooth de l’ESP32.

  • Commandes découvertes : 29 commandes non documentées ont été identifiées au total, pouvant servir à manipuler la mémoire (lecture/écriture RAM et Flash), à usurper des adresses MAC (usurpation d’appareils) et à injecter des paquets LMP/LLCP.

  • Risques : ces commandes peuvent ouvrir la voie à des implémentations malveillantes au niveau OEM et à des attaques de la chaîne d’approvisionnement. En particulier, un attaquant disposant déjà d’un accès root, ayant implanté un firmware malveillant ou poussé une mise à jour malveillante pourrait exploiter cette porte dérobée à distance.

  • Risque lié à l’accès physique : en pratique, l’accès physique à l’interface USB ou UART d’un appareil constitue un scénario d’attaque plus dangereux et plus réaliste.

  • Explications des chercheurs : les chercheurs expliquent qu’il est possible de prendre le contrôle complet de la puce ESP32 et d’y obtenir une persistance via les commandes de modification de la RAM et de la mémoire Flash, avec un potentiel de propagation à d’autres appareils.

  • Réaction d’Espressif : BleepingComputer a demandé la position d’Espressif sur ces résultats, mais n’a pas reçu de réponse immédiate.

À lire aussi

1 commentaires

 
GN⁺ 2025-03-09
Avis Hacker News

  • Le titre peut être trompeur. La « backdoor » semble permettre d’inspecter et de manipuler la mémoire de son propre adaptateur USB Bluetooth ainsi que d’autres fonctions bas niveau. Ce n’est pas exploitable sans fil.

    • Les commandes de débogage non documentées sont courantes. J’ai déjà trouvé des fonctions similaires dans des adaptateurs Wi‑Fi et des récepteurs GPS. Elles sont découvertes en rétroconcevant le firmware de la puce ou les pilotes du fournisseur. En soi, ce n’est pas un gros problème. Autoriser un firmware non signé est tout aussi vulnérable.
    • Si cette fonction était accessible depuis l’extérieur de l’hôte, ce serait une toute autre histoire.

  • Les chercheurs ont découvert des fonctions matérielles non documentées permettant un accès bas niveau à la pile Wi‑Fi de l’ESP32.

    • Appeler cela une « backdoor » n’est qu’un appât à clics.

  • Ce titre est faux. Une backdoor dans une puce Bluetooth permettrait à un attaquant sans fil d’exécuter du code sur la puce. Cet article rapporte qu’un pilote sur l’appareil connecté peut exécuter du code sur la puce. Cela ne franchit aucune frontière de sécurité.

    • Dans un écosystème journalistique qui fonctionnerait correctement, il faudrait un rectificatif, et cela nuirait fortement à la réputation du média qui l’a publié. Mais cela n’arrivera pas.

  • Je ne comprends pas bien s’il s’agit simplement de quelques commandes non documentées dans la pile Bluetooth. Si cela n’est accessible qu’au code déjà en cours d’exécution sur l’appareil, je n’appellerais pas cela une backdoor.

  • En théorie, il faut bien avoir un accès bas niveau à la radio BT connectée. C’est ce à quoi on s’attend.

    • Je préfère que les appareils aient ce type d’interfaces bas niveau. Le problème est peut-être moins leur existence que le manque de documentation.
    • J’ai déjà déverrouillé un appareil dont j’étais propriétaire en utilisant, via USB, des commandes de lecture/écriture mémoire sur une radio Qualcomm. Ce n’était pas idéal, car il s’agissait d’une lecture/écriture complètement OOB, mais si cela n’était accessible qu’au code flashé, ce serait déjà mieux.

  • Bonne recherche, mais mauvais titre. L’accès physique est nécessaire comme vecteur d’attaque, et dans presque tous les cas cela serait déjà faisable autrement. « Commandes non documentées découvertes dans des puces Bluetooth courantes » serait un meilleur titre.

  • TL;DR : en rétroconcevant le firmware, ils ont découvert des commandes HCI pour lire/écrire la mémoire, envoyer des paquets, définir l’adresse MAC, etc.

    • Ce n’est pas vraiment une backdoor. Je ne sais pas si ce sont eux qui l’ont appelée ainsi (la présentation est en espagnol), ou si ce sont les journalistes qui ont utilisé ce terme pour faire du clic.
    • Envoyer des commandes HCI à l’appareil exige un accès arbitraire. Cela signifie qu’on contrôle déjà l’appareil. Ce n’est pas quelque chose qui s’exploite à distance via le lien sans fil. Tous les exploits exigent déjà un contrôle complet de l’appareil, et à ce stade, changer l’adresse MAC ou envoyer des paquets n’a rien de surprenant.
    • Recherche intéressante, mais il est vraiment décevant de la voir emballée sous l’étiquette « backdoor ». Je ne sais pas à qui revient la responsabilité de cette formulation. Probablement aux journalistes.

  • Tout le monde semble accepter d’installer sur des PC de bureau et des portables des pilotes blob binaires opaques qui s’exécutent dans l’espace noyau, ainsi que de ne même pas avoir l’accès root à son téléphone contrôlé par le cloud, mais des commandes ESP32 bas niveau non documentées, utilisables uniquement quand l’appareil est déjà compromis, deviendraient soudain un vecteur de menace digne d’intérêt médiatique.

    • Je me demande si quelque chose s’est perdu à la traduction. Autrefois, on aurait trouvé ça génial et on aurait cherché comment le transformer en SDR.