David Schwartz, le directeur technique de l’entreprise Blockchain Company Ripple, a récemment évoqué une vulnérabilité Bluetooth qui touche près d’un milliard de dispositifs.
Il a exprimé son inquiétude en déclarant “Pas bon” dans un article sur les réseaux sociaux, soulignant la gravité de la situation.
Cette semaine, la société espagnole Tarlogic, spécialisée dans la cybersécurité, a annoncé avoir découvert une porte dérobée dans le microcontrôleur ESP32, qui est largement utilisé.
Cette puce, très abordable, coûtant environ 2 $, se retrouve dans la « grande majorité des appareils IoT Bluetooth », selon Tarlogic. Parmi ces appareils, on trouve notamment des montres intelligentes, des serrures connectées, des contrôleurs LED, des trackers de fitness, des haut-parleurs compatibles IoT et des caméras de sécurité.
Cependant, il se trouve que cette puce peut être compromise par des codes malveillants en raison de l’existence de commandes cachées. Tarlogic a identifié un total de 29 commandes non documentées jusqu’à présent.
Cette porte dérobée pourrait imaginairement permettre aux cybercriminels d’accéder aux appareils utilisant la puce ESP32, même lorsqu’ils sont hors ligne. Leurs intentions pourraient aller du vol d’informations sensibles à l’espionnage.
Néanmoins, certains experts se sont interrogés sur la qualification de ces commandes non officielles comme étant véritablement une porte dérobée.
En rapport
Espresstif, la société chinoise à l’origine de la puce, n’a pas encore répondu aux récentes conclusions de Tarlogic. Il semble également qu’il n’existe pas de solution facile à ce problème, à moins de remplacer complètement le matériel.
L’année dernière, Schwartz avait également mis en garde contre une vulnérabilité Windows qui permettait aux attaquants d’exécuter du code arbitraire sur un réseau Wi-Fi.
Source: https://u.today/ripple-cto-reacts-to-vulnerabilité-ffecting-billion-devices
Résumé : David Schwartz, directeur technique chez Ripple, a exprimé des inquiétudes concernant une vulnérabilité Bluetooth touchant jusqu’à un milliard de dispositifs à travers le microcontrôleur ESP32, reconnu pour sa large utilisation dans de nombreux appareils IoT. La société de cybersécurité Tarlogic a identifié des commandes cachées sur cette puce, suscitant des questions sur la sécurité et le potentiel d’accès malveillant. Espresstif, fabricant de la puce, n’a pas encore commenté cette découverte. Ce problème pourrait nécessiter un remplacement matériel complet pour garantir la sécurité des dispositifs.
