Découverte d’un microphone caché dans le NanoKVM de Sipeed

• Le NanoKVM développé par le chinois Sipeed est un commutateur KVM matériel ultra compact permettant de contrôler à distance un PC ou un serveur, et il a attiré l’attention grâce à son faible coût et à son engagement en open source
• L’appareil dispose de ports HDMI, USB-C et Ethernet, et le contrôle à distance via le navigateur est possible, y compris l’accès au BIOS et la gestion de l’alimentation
• Toutefois, de nombreuses vulnérabilités de sécurité ont été découvertes, notamment des mots de passe par défaut, des clés de chiffrement hardcodées, une dépendance aux serveurs DNS chinois et des communications de mise à jour non vérifiées
• En particulier, un microphone intégré de 2×1 mm non mentionné dans la documentation a été identifié, et il est possible d’enregistrer de l’audio après connexion SSH via les commandes amixer et arecord
• Grâce à son architecture open source, il est possible d’installer une distribution Linux personnalisée et de retirer le microphone, mais ce cas met en lumière le risque concret de transformation d’un petit appareil IoT en outil d’espionnage

Présentation et fonctionnement du NanoKVM

• NanoKVM est un commutateur KVM matériel basé sur RISC-V conçu par Sipeed pour piloter un ordinateur à distance
  • Le signal vidéo est reçu via HDMI et affiché dans le navigateur
  • Il émule clavier, souris, CD-ROM, lecteur USB et adaptateur réseau via USB
• Le contrôle à distance est possible sans installer de logiciel : une connexion physique suffit, et l’accès BIOS ainsi que les accessoires de gestion de l’alimentation permettent de mettre sous tension, éteindre et réinitialiser l’équipement
• Le modèle complet coûte environ 60 euros et le compact 30 euros, nettement moins cher que le concurrent PiKVM
• Il est conçu sur une base RISC-V open source et le fabricant a publié la majorité du code en open source

Problèmes initiaux et sécurité

• Les premières productions ont été rappelées pour des erreurs de détection de signal HDMI, puis le développement logiciel a progressé rapidement
• Les appareils ont été expédiés avec des mots de passe par défaut et un accès SSH activé
  • Ceci a été corrigé après signalement au fabricant, mais de nombreuses vulnérabilités subsistent
• L’interface web souffre d’une absence de protection CSRF, de l’impossibilité d’invalider les sessions et d’une structure critique utilisant la même clé de chiffrement sur tous les appareils
• L’appareil utilise par défaut des serveurs DNS chinois et communique avec les serveurs de Sipeed pour télécharger les mises à jour et des composants fermés
  • La clé d’authentification est stockée en clair, sans vérification d’intégrité des mises à jour
  • Une version modifiée de WireGuard ne fonctionne pas sur certains réseaux
  • Le modèle compact repose sur un Linux allégé où systemd et apt ont été supprimés

Outils intégrés et composition suspecte

• Des outils comme tcpdump et aircrack sont présents dans l’appareil
  • Ils servent à l’analyse de paquets réseau et aux tests de sécurité sans fil, mais peuvent être détournés comme outils d’attaque
  • Cela peut avoir eu un usage de débogage pendant le développement, mais leur inclusion dans la version produit est inappropriée

Découverte du microphone caché

• Un microphone SMD ultra-compact (2×1 mm) non indiqué dans la documentation officielle est intégré
  • Après connexion SSH, un enregistrement audio haute qualité est possible avec les commandes amixer et arecord
  • Les fichiers d’enregistrement peuvent être copiés vers un autre ordinateur ou diffusés en streaming temps réel
• Le retrait du microphone est possible, mais le démontage est difficile et nécessite un travail de précision au niveau microscopique
• Des outils d’enregistrement sont déjà préinstallés sur l’appareil, ce qui en fait une architecture de sécurité très risquée

Alternatives open source et possibilité d’action

• Grâce à sa nature open source, il est possible d’installer une distribution Linux personnalisée
  • Un utilisateur est en train de porter un OS personnalisé basé sur Debian, avec une évolution vers la prise en charge d’Ubuntu en cours
  • Le processus d’installation consiste à retirer la carte SD puis flasher le nouveau logiciel
• Les utilisateurs peuvent retirer le microphone ou, au contraire, connecter un haut-parleur pour l’utiliser comme périphérique de lecture audio
  • Un test avec un haut-parleur 8Ω 0,5W a confirmé une qualité sonore correcte
  • PiKVM a également ajouté récemment une fonction audio bidirectionnelle

Conclusions et prise de conscience élargie

• NanoKVM intègre plusieurs risques de sécurité, notamment mot de passe par défaut, communication vers des serveurs chinois, outils d’intrusion intégrés et microphone caché
• Ces problèmes semblent provenir de la précipitation et du manque de rigueur dans le développement, mais ils restent un risque majeur pour les utilisateurs
• L’article pose la question de « combien d’appareils comportant des fonctionnalités cachées existent déjà dans les foyers »
  • le cas de Apple Siri, ayant abouti à un accord de 95 millions de dollars après l’enregistrement de conversations privées,
  • les poursuites liées à l’assistant vocal Google,
  • un signalement selon lequel Apple aurait formé les forces de police à une surveillance discrète
• En conclusion, il faut rester vigilant non seulement face aux produits chinois, mais aussi face aux comportements liés à la vie privée des grandes entreprises IT mondiales

Annexe : méthode d’enregistrement audio sur NanoKVM

• Après connexion SSH, exécutez les commandes suivantes pour tester le microphone
  • amixer -Dhw:0 cset name='ADC Capture Volume 20' : définit la sensibilité du micro
  • arecord -Dhw:0,0 -d 3 -r 48000 -f S16_LE -t wav test.wav & > /dev/null & : enregistre pendant 3 secondes
• Le fichier test.wav enregistré peut être copié pour être lu