Des chercheurs espagnols ont présenté à la conférence RootedCon une session sur le hack de la pile Bluetooth présente dans les microcontrôleurs ESP32 d’Espressif. Ces composants, peu chers et très performants, sont déployés dans des millions d’IoT. En tout, 32 commandes non documentées ont été repérées.
Les chercheurs se sont interrogés sur cette présence : des portes dérobées, des commandes pour des tests, une erreur de design ? Ces commandes ne sont pas accessibles librement, il faut fouiller dans le firmware pour les repérer et les applications internes. Et d’autre part, pour les exploiter, les chercheurs ont développé un outil spécifique.
Après plusieurs semaines, cette “affaire” a été reprise par plusieurs magazines de sécurité et IT. Espressif a publié le 10 mars une note pour préciser la nature des commandes.
Non, il ne s’agit pas de portes dérobées mais des commandes de debug pour tester le Bluetooth. Elles font parties de l’implémentation du protocole Host Controller Interface (HCI) utilisé par le Bluetooth.
Espressif précise que :
- il s’agit de commandes de debug. Ce sont des commandes privées.
- pas d’accès distant
- pas d’impact sur la sécurité et les couches de sécurité des ESP32
- ces commandes sont présentes uniquement sur les ESP32, pas sur les gammes 32-C, 32-S et 32-H
Les commandes HCI se situent au-dessus de la couche contrôleur Bluetooth, proche de l’implémentation matérielle. Bluetooth possède deux couches principales : le Bluetooth Host et le Bluetooth Controller. Sur l’ESP, elles sont rassemblées dans une unique application. Le fondeur précise : “Ces commandes HCI non documentées ne peuvent pas être déclenchées par Bluetooth, des signaux radio ou via Internet, à moins qu’il n’existe une vulnérabilité dans l’application elle-même ou dans les protocoles radio. La présence de telles vulnérabilités constituera un problème important et la présence de ces commandes non documentées n’offre pas de surface d’attaque supplémentaire.”
Espressif conseille de :
1 mettre à jour le firmware pour retirer l’accès aux commandes non documentées
2 se reporter à la documentation des cartes tiers utilisant l’ESP32 pour voir si ces commandes sont utilisées ou bloquées
