L’ESP32 de l’entreprise chinoise Espressif (largement utilisé dans les appareils connectés) contiendrait une backdoor. Cette découverte par les chercheurs en sécurité de Tarlogic Security a été présentée lors de la conférence RootedCON à Madrid. Des milliards d’appareils seraient impactés…
ESP32 et faille de sécurité
L’ESP32 est un microcontrôleur qui permet la connectivité Wi-Fi et Bluetooth. Il s’est vendu plus d’un milliard d’ESP32 de la société Espressif en 2023. La présence d’une porte dérobée (backdoor en anglais) dans un composant aussi répandu soulève des inquiétudes en matière de cybersécurité.
Les chercheurs ont mis en évidence que cette faille permettrait de :
- Usurper l’identité d’appareils de confiance (spoofing)
- Accéder à des données sensibles sans autorisation
- Se propager à d’autres dispositifs connectés sur le même réseau
- Établir une persistance durable sur les appareils compromis
Cette vulnérabilité pourrait donc être exploitée par des attaquants pour compromettre des dispositifs critiques : téléphone, ordinateur, lecteur multimédia, domotique, etc.
Backdoor découverte grâce à un nouvel outil
Les chercheurs de Tarlogic Security ont développé un pilote Bluetooth USB en C, indépendant du matériel et compatible avec plusieurs plateformes. Cet outil leur a permis d’accéder directement aux flux Bluetooth et de détecter des commandes cachées dans le firmware Bluetooth de l’ESP32.
Ils ont ainsi identifié 29 commandes non documentées sous le code d’opération 0x3F. Ces commandes permettent notamment :
- La manipulation de la mémoire (lecture/écriture de la RAM et de la Flash)
- L’usurpation d’adresse MAC
- L’injection de paquets Bluetooth LMP/LLCP
Espressif n’a jamais publié de documentation sur ces commandes, ce qui pose la question de savoir si elles étaient destinées à rester inaccessibles ou si elles ont été laissées par erreur.
Il est important de préciser que le scénario d’attaque le plus probable reste celui où l’attaquant aurait un accès physique au matériel (ex. : au port USB), facilitant ainsi l’injection des commandes non documentées.
Menace persistante pour les appareils IoT
Les chercheurs de Tarlogic soulignent que cette faille pourrait permettre de dissimuler un APT (Advanced Persistent Threat) dans la mémoire de l’ESP32 et de mener des attaques Bluetooth ou Wi-Fi contre d’autres dispositifs. Une fois l’ESP32 compromis, un attaquant pourrait :
- Maintenir un accès permanent à l’appareil
- Modifier le firmware du microcontrôleur
- Se propager à d’autres appareils connectés
Cette vulnérabilité est suivie sous la référence CVE-2025-27840. Espressif n’a pas encore réagi officiellement aux découvertes des chercheurs.
En synthèse
Cette nouvelle découverte met en lumière les risques liés à la sécurité des composants largement utilisés dans les objets connectés. La présence d’une porte dérobée dans l’ESP32 souligne la nécessité d’une plus grande transparence de la part des fabricants et d’une vigilance accrue de la part des développeurs et des utilisateurs. Dans un monde de plus en plus connecté, la sécurité des composants de base doit devenir une priorité absolue.
Les attaques DDoS menées via des botnets reposent souvent sur des dispositifs IoT compromis, ce qui renforce la nécessité de sécuriser ces équipements dès leur conception.