Des chercheurs en cybersécurité ont identifié un potentiel problème de sécurité pouvant impacter plus d’un milliard d’appareils.
D’après des experts de la société spécialisée en cybersécurité Tarlogic, une instruction dissimulée a été découverte encodée dans une puce bluetooth intégrée dans des appareils à travers le monde. Ce paramètre caché pourrait être utilisé à des fins militaires par des individus malveillants et exploité comme une faille de sécurité dans ces dispositifs, selon les chercheurs.
En se servant de ces manipulations, les pirates pourraient se faire passer pour un appareil de confiance, puis se connecter à des smartphones, des ordinateurs et d’autres appareils pour accéder aux données qui y sont stockées. Les individus malveillants peuvent ensuite exploiter cette connexion à l’appareil pour surveiller les utilisateurs.
La puce ESP32, fabriquée par la société chinoise Espressif, est connue pour être un microcontrôleur offrant des fonctionnalités de connexion Wi-Fi et Bluetooth. En 2023, Espressif a annoncé que sa puce ESP32 avait atteint un milliard d’unités vendues à travers le monde, et de nombreux appareils IoT, tels que les appareils intelligents, intègrent cette puce particulière.
Les experts de Tarlogic rapportent que cette instruction secrète pourrait être utilisée de manière malveillante, permettant ainsi à des individus hostiles d’effectuer des attaques en imitant des appareils sensibles infectés de manière permanente tels que les smartphones, les ordinateurs, les serrures intelligentes ou le matériel médical, en contournant les contrôles de vérification des codes. Tarlogic affirme que ces instructions ne sont pas officiellement documentées par Espressif.
Des experts travaillant pour Tarlogic ont créé un nouveau logiciel de contrôle Bluetooth destiné à renforcer la sécurité des appareils. Grâce à cet outil, l’entreprise a identifié 29 fonctionnalités secrètes susceptibles d’être utilisées pour copier des appareils connus et accéder à des données sensibles stockées sur un appareil.
D’après Tarlogic, Espressif commercialise ses puces Bluetooth à environ 2 $, c’est pourquoi de nombreux appareils optent pour ce composant malgré des options plus coûteuses.
Selon BleepingComputer, le problème est référencé sous le code CVE-2025-27840.
Sujets abordés : Bluetooth et sécurité informatique.
