Une porte dérobée sur le microcontrôleur Bluetooth Espressif
Des chercheurs espagnols ont identifié des commandes cachées dans un microcontrôleur bon marché d’Espressif, largement utilisé dans l’internet des objets (IoT).
L’équipe de Tarlogic Innovation à Madrid a présenté des recherches révélant des commandes non documentées dans le microcontrôleur Bluetooth intégré ESP32 du concepteur de puces chinois Espressif, présent dans des millions d’appareils intelligents. Le contrôleur utilise soit le cœur configurable Tensilica LX7 de Cadence Design Systems, soit un cœur RISC-V avec une architecture de jeu d’instructions étendue conçue en interne.
Cette annonce intervient toutefois un jour après qu’Espressif a annoncé que son microcontrôleur ESP32-C6 avait obtenu la certification de sécurité PSA Certified Level 2 (PSA-L2). L’ESP32-C6 est ainsi le premier produit basé sur RISC-V à atteindre ce niveau de certification de sécurité et pourrait éviter les problèmes liés aux commandes cachées.
Espressif a déclaré que cela soulignait son engagement à fournir des solutions IoT robustes, sécurisées et fiables, mais n’a pas commenté l’étude de Tarlogic.
L’obtention de la certification PSA de niveau 2 signifie que la racine de confiance PSA (PSA-RoT) de l’ESP32-C6 a fait l’objet d’une évaluation en laboratoire, démontrant sa résilience contre les attaques logicielles évolutives et protégeant potentiellement contre l’utilisation des commandes cachées par des logiciels non autorisés.
« L’obtention de la certification PSA-L2 pour l’ESP32-C6 souligne notre engagement inébranlable à fournir une sécurité abordable, rendant la protection avancée plus accessible aux développeurs et aux entreprises « , a déclaré Teo Swee Ann, fondateur et PDG d’Espressif Systems. « Avec l’évolution des réglementations mondiales, notre plateforme est conçue pour aider les clients à répondre à ces exigences tout en proposant des produits sécurisés, fiables et évolutifs. »
L’équipe de Tarlogic a d’abord déclaré que ces commandes pouvaient être utilisées comme une porte dérobée dans les composants ESP32 existants sur le terrain et que l’exploitation de cette fonctionnalité cachée permettrait à des acteurs hostiles de mener des attaques par usurpation d’identité. Cela pourrait être utilisé pour infecter de manière permanente des appareils sensibles tels que des téléphones portables, des ordinateurs, des serrures intelligentes ou des équipements médicaux en contournant les contrôles d’audit du code.
- Visualisation des signaux WiFI avec une antenne réseau ESP32
- Plumerai porte l’IA de détection des personnes sur le microcontrôleur ESP32-S3
« Nous souhaitons préciser qu’il est plus approprié de parler de la présence de commandes HCI propriétaires – qui permettent des opérations telles que la lecture et la modification de la mémoire dans le contrôleur ESP32 – comme d’une « fonctionnalité cachée » plutôt que d’une « porte dérobée », a déclaré l’équipe dans une mise à jour plus tôt dans la journée.
« L’utilisation de ces commandes pourrait faciliter les attaques de la chaîne d’approvisionnement, la dissimulation de portes dérobées dans le chipset ou l’exécution d’attaques plus sophistiquées. Au cours des prochaines semaines, nous publierons d’autres détails techniques à ce sujet ».
L’entreprise a présenté cette recherche à RootedCON, la plus grande conférence mondiale sur la cybersécurité en langue espagnole. Elle utilise BluetoothUSB, un outil gratuit développé par Tarlogic qui permet de développer des tests pour les audits de sécurité Bluetooth, quel que soit le système d’exploitation des appareils.
Les chercheurs ont examiné plusieurs composants Bluetooth en utilisant leur méthodologie qui systématise la réalisation d’audits de sécurité Bluetooth. Ils ont ainsi découvert les commandes cachées qui permettent de modifier les puces afin de débloquer des fonctionnalités supplémentaires, d’injecter des codes malveillants ou de mener des attaques de vol d’identité sur les appareils.
Cela pourrait permettre à des acteurs malveillants de se faire passer pour des appareils connus afin de se connecter à des téléphones mobiles, des ordinateurs et des appareils intelligents, même s’ils sont en mode déconnecté.
La certification PSA de niveau 2 valide la résistance aux attaques logicielles et la protection des actifs critiques grâce à la protection de la mémoire physique (PMP) et à la gestion des autorisations d’accès (APM). La PMP et l’APM de l’ESP32-C6 appliquent un contrôle d’accès matériel, garantissant l’isolation de la mémoire et la séparation des privilèges.
Un périphérique de signature numérique permet des opérations cryptographiques sécurisées en générant des signatures numériques dans le matériel, ce qui garantit que les clés privées restent protégées et ne sont jamais exposées au logiciel, empêchant ainsi les modifications non autorisées du micrologiciel et la falsification.
Le chiffrement de la mémoire flash protège les données stockées contre tout accès non autorisé en chiffrant le contenu de la mémoire flash externe.
En tant que composant certifié PSA niveau 2, l’ESP32-C6 adhère au modèle de sécurité défini par PSA Certified. Au cœur de ce modèle de sécurité se trouve l’ESP-TEE, qui est ancré dans un matériel immuable et fonctionne comme la racine de confiance de la plate-forme.
L’ESP-TEE fournit une isolation renforcée par le matériel, garantissant que les applications de confiance s’exécutent dans un environnement protégé, à l’abri des menaces potentielles dans le domaine non sécurisé. Cela renforce la sécurité des opérations critiques telles que la gestion des clés cryptographiques, la vérification du démarrage sécurisé et les mises à jour des microprogrammes.
Si vous avez apprécié cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à :
