Kaspersky ICS CERT a découvert une vulnérabilité affectant les chipsets Qualcomm, largement utilisés dans une vaste gamme d'appareils grand public et industriels, notamment les smartphones, les tablettes, les composants automobiles, les objets connectés, et bien d’autres encore.
Cette faille réside dans la BootROM, un micrologiciel intégré directement au niveau du matériel. Les cybercriminels pourraient potentiellement accéder à toutes les données stockées sur l'appareil ou aux capteurs (la caméra et le micro), mettre en œuvre des scénarios d'attaque complexes et, dans certains cas, prendre le contrôle total de l'appareil. Les résultats de cette recherche ont été présentés lors de la conférence Black Hat Asia 2026.
La vulnérabilité affecte les séries Qualcomm MDM9x07, MDM9x45, MDM9x65, MSM8909, MSM8916, MSM8952 ainsi que la série SDX50. Elle a été signalée à l'entreprise en mars 2025 et Qualcomm l’a reconnu en avril 2025. Elle s'est vue attribuer l'identifiant CVE-2026-25262. D'autres puces basées sur la technologie Qualcomm pourraient également être concernées.
Les chercheurs de Kaspersky ont exploré le protocole Sahara, un système de communication de bas niveau utilisé lorsqu'une puce Qualcomm passe en mode EDL (Emergency Download Mode), un mode de récupération spécial conçu pour réparer ou restaurer des smartphones et d'autres appareils. Sahara agit comme la première étape permettant de se connecter à l'appareil et de charger des logiciels avant même que le système d'exploitation de l'appareil ne démarre.
Kaspersky a démontré qu'une faille de sécurité dans ce processus pourrait permettre à un cybercriminel ayant un accès physique à l'appareil de contourner les protections de sécurité clés de la puce. Cela lui permettrait de compromettre la chaîne de démarrage sécurisé et, dans certains cas, de déployer des malwares et des portes dérobées dans le processeur d'application de la puce, compromettant ainsi totalement l'appareil. Par exemple, si l'appareil cible est un smartphone ou une tablette, l'attaquant peut potentiellement accéder aux mots de passe saisis par l'utilisateur. Par la suite, cela ouvre un accès à de multiples types de données sensibles, telles que les fichiers, les contacts, la localisation, ou encore la caméra et le microphone de l'appareil.
Un attaquant potentiel n'a besoin que de quelques minutes d'accès physique à un appareil pour le pirater. Par conséquent, si un smartphone est envoyé en réparation ou laissé sans surveillance pendant un court instant, on ne peut pas avoir la certitude qu'il n'est pas infecté. Les chercheurs avertissent que la menace dépasse le cadre de l'utilisateur final et inclut une compromission potentielle lors de la phase d'approvisionnement.
«Des vulnérabilités comme celle-ci peuvent permettre à des attaquants de déployer des logiciels malveillants difficiles à détecter et à supprimer. En pratique, cela pourrait permettre une collecte de données discrète ou influencer le comportement de l'appareil sur de longues périodes. Bien qu'un redémarrage puisse sembler être un moyen efficace de supprimer de tels logiciels, on ne peut pas toujours s'y fier : les systèmes compromis peuvent simuler un redémarrage sans réellement se réinitialiser. Dans de tels cas, seule une perte totale d'alimentation, incluant l'épuisement de la batterie, garantit un redémarrage propre », commente Sergey Anufrienko, expert en sécurité au sein du Kaspersky ICS CERT.
Consultez l'avis de sécurité sur le site web du Kaspersky ICS CERT.
À propos de Kaspersky ICS CERT
Le Kaspersky ICS CERT se consacre principalement à l’identification et au traitement des menaces potentielles et existantes qui visent les systèmes d’automatisation industrielle et l’Internet des Objets Industriel (IIoT). L’équipe a identifié avec succès et aidé à éliminer des centaines de failles dans des produits OT/IoT et des composants clés largement utilisés, renforçant ainsi la sécurité et la résilience de ces systèmes critiques face à des cyberattaques sophistiquées.
