● Kaspersky FR 📅 16/06/2026 à 08:59

Analyse de la nouvelle faille de sécurité de la puce Qualcomm

Cybersécurité 👤 Kaspersky ICS CERT Team
Illustration
Imaginez que vous confiez votre smartphone à un réparateur. Quelques jours plus tard, vous le récupérez et, bonne nouvelle, il fonctionne de nouveau ! Cependant, vous ne vous rendrez même pas compte que votre appareil a été infecté par un code malveillant, donnant aux pirates la possibilité d’accéder à votre smartphone même lorsqu’il est verrouillé. Voici le début du compte rendu présenté par Alexander Kozlov et Sergey Anufrienko, chercheurs chez Kaspersky ICS CERT, lors de la conférence Black Hat Asia 2026. Ils ont découvert une faille qui vient remettre en cause toutes les idées reçues concernant la sécurité des smartphones et des appareils connectés. Cette vulnérabilité se trouve au cœur même des puces Qualcomm. Qu’est-ce que la BootROM ? Pour comprendre la gravité de cette découverte, il faut d’abord examiner comment fonctionne un appareil moderne équipé d’une puce Qualcomm. Imaginez une forteresse dotée de plusieurs niveaux de sécurité. Chaque niveau vérifie le laissez-passer délivré par le niveau précédent. La fondation même (la couche la plus fiable de toutes) est la BootROM, une mémoire en lecture seule intégrée directement dans la puce et qui ne peut plus être modifiée une fois sortie de l’usine. Le BootROM est le tout premier élément à s’exécuter lorsqu’un appareil est mis sous tension. Elle vérifie la signature du programme de démarrage suivant, qui à son tour vérifie celui d’après, créant ainsi une chaîne de confiance qui remonte jusqu’au système d’exploitation. Si un pirate parvient à compromettre cette chaîne au niveau de la BootROM, c’est fini : le code malveillant s’exécutera avant même que le système d’exploitation principal ait eu le temps de se charger. C’est exactement ce que les pirates peuvent faire en exploitant la vulnérabilité CVE-2026-25262 découverte par les chercheurs de Kaspersky ICS CERT. Le mode de téléchargement d’urgence comme point d’entrée La recherche a débuté avec un protocole baptisé « Sahara ». Il s’agit d’un élément du mode de téléchargement d’urgence (EDL). Les fabricants et les centres de service s’en servent pour réactiver les appareils bloqués : le téléphone est connecté à un ordinateur via USB, puis un utilitaire spécial certifié par le fabricant (dans ce cas, Qualcomm) y est installé. Sahara est implémenté directement au sein du PBL (programme de démarrage principal) ARM, c’est-à-dire la BootROM elle-même. Cela signifie que le protocole s’exécute avant le démarrage de tout système d’exploitation, avant la vérification des droits d’accès des utilisateurs et avant l’activation de tout contrôle de sécurité. L’appareil attend simplement qu’une connexion USB soit établie, prêt à recevoir des données. Le principe de communication semble simple : l’appareil envoie une requête d’établissement de connexion (HELLO) à l’ordinateur, l’ordinateur sélectionne le mode, un cycle démarre pour charger le programme utilitaire par blocs, et enfin, l’appareil exécute le code chargé. C’est précisément au sein de la logique de vérification de ces segments de fichiers que la vulnérabilité a été identifiée. Write-what-where (écrire-quoi-où) : le cœur de la vulnérabilité D’un point de vue technique, la faille introduite par les développeurs est classée sous le code CWE-123 : « Write-What-Where Condition ». C’est à peu près le pire scénario possible en matière de défauts dans la programmation de bas niveau. Un pirate peut écrire des données arbitraires à une adresse arbitraire dans la mémoire de l’appareil. Sans entrer dans les détails techniques, il suffit de dire qu’en exploitant la faille découverte, les pirates peuvent accéder à toutes les données stockées sur l’appareil, y compris les mots de passe saisis par l’utilisateur, les fichiers, les contacts, les données de géolocalisation, ainsi qu’aux capteurs matériels, comme la caméra et le microphone. Dans certains cas, il est possible de contrôler entièrement l’appareil. Il suffit de quelques minutes d’accès physique à l’appareil via une connexion par câble pour que celui-ci soit piraté. Vous vous exposez donc à un risque si vous confiez votre smartphone à un réparateur, si vous le remettez à une autre personne pour qu’elle le configure et y installe des applications, ou si vous le laissez simplement sans surveillance. Appareils concernés La vulnérabilité CVE-2026-25262 touche les séries de puces Qualcomm suivantes : MDM9x07, MDM9x45, MDM9x65, MSM8909, MSM8916, MSM8952 et SDX50, c’est-à-dire toutes les versions commercialisées à ce jour, jusqu’à ce que le fabricant corrige cette vulnérabilité. Ce ne sont pas des pièces de musée dépassées. La puce MDM9207, que nous avons utilisée pour l’essentiel de nos recherches, est intégrée dans des modules de modem destinés à l’Internet des objets (IoT), aux équipements industriels, aux appareils domestiques intelligents, aux systèmes de surveillance médicale, aux traceurs logistiques et aux terminaux bancaires. La puce MSM8916 équipe de nombreux smartphones d’entrée de gamme, tandis que la puce SDX50 est utilisée dans les unités de commande automobiles. Comment les appareils vulnérables sont-ils attaqués ? La difficulté, c’est que l’attaquant doit avoir physiquement accès à l’appareil pour y parvenir. Concrètement, les situations peuvent être variées : Réparations de smartphones dans des ateliers de réparation indépendants, où l’appareil est laissé pendant plusieurs heures Points de contrôle douaniers dans certains pays, où les appareils sont retenus, inspectés, puis restitués Arnaques aux objets trouvés, où votre téléphone est volé, trafiqué, puis retrouvé comme par miracle Espionnage industriel par un employé interne ou un employé malveillant Il suffit à un pirate de disposer de quelques minutes d’accès physique à l’appareil pour y implanter une porte dérobée si profondément enfouie que les outils d’analyse classiques ne la détecteront même pas dans la plupart des cas. Pourquoi il n’y a pas de correctif et que faire La société Qualcomm a été informée de cette découverte en mars 2025 et a confirmé l’existence de cette faille dans ses puces. Pour l’identifier, le fournisseur lui a attribué le numéro CVE-2026-25262, et le 20 avril 2026, Kaspersky ICS CERT a publié des informations techniques sur cette vulnérabilité ainsi que des recommandations à l’intention des utilisateurs. Qualcomm a mentionné cette faille de sécurité dans son bulletin de sécurité du mois de mai. Bien qu’il soit fondamentalement impossible de réparer les appareils déjà fabriqués, l’entreprise s’est engagée à produire toutes ses futures puces sans cette faille de sécurité. Si vous possédez actuellement un appareil équipé d’une puce concernée, suivez nos recommandations ci-dessous pour réduire le risque d’infection. Veillez à bien surveiller vos appareils : ne les laissez pas sans surveillance, surtout lorsque vous voyagez ou que vous êtes en déplacement professionnel. Pour les réparations et les entretiens, faites appel uniquement à des centres de service agréés. Mettez régulièrement à jour votre micrologiciel : même si vous ne corrigerez pas la faille de la BootROM, cette opération éliminera de nombreuses vulnérabilités connexes à des niveaux supérieurs. Utilisez une solution de sécurité fiable sur votre appareil. Vous protégerez ainsi votre appareil contre d’autres menaces qui, combinées à cette vulnérabilité, pourraient entraîner des conséquences imprévisibles. Si vous remarquez que votre appareil équipé d’une puce Qualcomm vulnérable commence à se comporter de manière anormale (surchauffe en veille, pics inattendus de trafic réseau ou comportement inhabituel des applications), votre appareil est peut-être compromis par cette vulnérabilité. Il est possible de supprimer le code malveillant et de réinitialiser votre appareil à son état d’origine en coupant complètement son alimentation. Cela signifie soit retirer la batterie, soit la laisser se décharger complètement jusqu’à ce que l’appareil s’éteigne complètement. Dans ce cas, il est très probable que le code malveillant ne subsiste pas sur l’appareil : au cours de nos recherches, nous n’avons pas pu confirmer qu’il était capable de s’ancrer dans la mémoire non volatile. Vous souhaitez en savoir plus sur les failles de sécurité graves touchant les téléphones Android ? Lisez les articles suivants : Attaques contre les réseaux 5G : la course aux armements continue Les services de géolocalisation vous espionnent-ils ? Vulnérabilité Pixnapping : captures d’écran impossibles à bloquer sur votre téléphone Android Vol de données pendant le chargement d’un smartphone Un cheval de Troie intégré dans de faux smartphones Android
← Retour