{"id":23988,"date":"2026-06-16T10:59:07","date_gmt":"2026-06-16T08:59:07","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=23988"},"modified":"2026-06-16T10:59:07","modified_gmt":"2026-06-16T08:59:07","slug":"qualcomm-cve-2026-25262","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/qualcomm-cve-2026-25262\/23988\/","title":{"rendered":"Faille de s\u00e9curit\u00e9 chez Qualcomm : les r\u00e9parations de t\u00e9l\u00e9phones et l’entretien des voitures ne sont plus s\u00fbrs"},"content":{"rendered":"

Imaginez que vous confiez votre smartphone \u00e0 un r\u00e9parateur. Quelques jours plus tard, vous le r\u00e9cup\u00e9rez et, bonne nouvelle, il fonctionne de nouveau\u00a0! Cependant, vous ne vous rendrez m\u00eame pas compte que votre appareil a \u00e9t\u00e9 infect\u00e9 par un code malveillant, donnant aux pirates la possibilit\u00e9 d\u2019acc\u00e9der \u00e0 votre smartphone m\u00eame lorsqu\u2019il est verrouill\u00e9.<\/p>\n

Voici le d\u00e9but du compte rendu pr\u00e9sent\u00e9 par Alexander Kozlov et Sergey Anufrienko, chercheurs chez Kaspersky ICS CERT, lors de la conf\u00e9rence Black Hat Asia 2026<\/a>. Ils ont d\u00e9couvert une faille qui vient remettre en cause toutes les id\u00e9es re\u00e7ues concernant la s\u00e9curit\u00e9 des smartphones et des appareils connect\u00e9s. Cette vuln\u00e9rabilit\u00e9 se trouve au c\u0153ur m\u00eame des puces Qualcomm.<\/p>\n

Qu\u2019est-ce que la BootROM\u00a0?<\/h2>\n

Pour comprendre la gravit\u00e9 de cette d\u00e9couverte, il faut d\u2019abord examiner comment fonctionne un appareil moderne \u00e9quip\u00e9 d\u2019une puce Qualcomm. Imaginez une forteresse dot\u00e9e de plusieurs niveaux de s\u00e9curit\u00e9. Chaque niveau v\u00e9rifie le laissez-passer d\u00e9livr\u00e9 par le niveau pr\u00e9c\u00e9dent. La fondation m\u00eame (la couche la plus fiable de toutes) est la BootROM, une m\u00e9moire en lecture seule int\u00e9gr\u00e9e directement dans la puce et qui ne peut plus \u00eatre modifi\u00e9e une fois sortie de l\u2019usine<\/a>.<\/p>\n

Le BootROM est le tout premier \u00e9l\u00e9ment \u00e0 s\u2019ex\u00e9cuter lorsqu\u2019un appareil est mis sous tension. Elle v\u00e9rifie la signature du programme de d\u00e9marrage suivant, qui \u00e0 son tour v\u00e9rifie celui d\u2019apr\u00e8s, cr\u00e9ant ainsi une cha\u00eene de confiance qui remonte jusqu\u2019au syst\u00e8me d\u2019exploitation. Si un pirate parvient \u00e0 compromettre cette cha\u00eene au niveau de la BootROM, c\u2019est fini\u00a0: le code malveillant s\u2019ex\u00e9cutera avant m\u00eame que le syst\u00e8me d\u2019exploitation principal ait eu le temps de se charger.<\/p>\n

C\u2019est exactement ce que les pirates peuvent faire en exploitant la vuln\u00e9rabilit\u00e9 CVE-2026-25262<\/a> d\u00e9couverte par les chercheurs de Kaspersky ICS CERT.<\/p>\n

Le mode de t\u00e9l\u00e9chargement d\u2019urgence comme point d\u2019entr\u00e9e<\/h2>\n

La recherche a d\u00e9but\u00e9 avec un protocole baptis\u00e9 \u00ab\u00a0Sahara\u00a0\u00bb. Il s\u2019agit d\u2019un \u00e9l\u00e9ment du mode de t\u00e9l\u00e9chargement d\u2019urgence (EDL). Les fabricants et les centres de service s\u2019en servent pour r\u00e9activer les appareils bloqu\u00e9s : le t\u00e9l\u00e9phone est connect\u00e9 \u00e0 un ordinateur via USB, puis un utilitaire sp\u00e9cial certifi\u00e9 par le fabricant (dans ce cas, Qualcomm) y est install\u00e9.<\/p>\n

Sahara est impl\u00e9ment\u00e9 directement au sein du PBL (programme de d\u00e9marrage principal) ARM, c\u2019est-\u00e0-dire la BootROM elle-m\u00eame. Cela signifie que le protocole s\u2019ex\u00e9cute avant le d\u00e9marrage de tout syst\u00e8me d\u2019exploitation, avant la v\u00e9rification des droits d\u2019acc\u00e8s des utilisateurs et avant l\u2019activation de tout contr\u00f4le de s\u00e9curit\u00e9. L\u2019appareil attend simplement qu\u2019une connexion USB soit \u00e9tablie, pr\u00eat \u00e0 recevoir des donn\u00e9es.<\/p>\n

Le principe de communication semble simple\u00a0: l\u2019appareil envoie une requ\u00eate d\u2019\u00e9tablissement de connexion (HELLO) \u00e0 l\u2019ordinateur, l\u2019ordinateur s\u00e9lectionne le mode, un cycle d\u00e9marre pour charger le programme utilitaire par blocs, et enfin, l\u2019appareil ex\u00e9cute le code charg\u00e9. C\u2019est pr\u00e9cis\u00e9ment au sein de la logique de v\u00e9rification de ces segments de fichiers que la vuln\u00e9rabilit\u00e9 a \u00e9t\u00e9 identifi\u00e9e.<\/p>\n

Write-what-where (\u00e9crire-quoi-o\u00f9)\u00a0: le c\u0153ur de la vuln\u00e9rabilit\u00e9<\/h2>\n

D\u2019un point de vue technique, la faille introduite par les d\u00e9veloppeurs est class\u00e9e sous le code CWE-123 : \u00ab\u00a0Write-What-Where Condition\u00a0\u00bb. C\u2019est \u00e0 peu pr\u00e8s le pire sc\u00e9nario possible en mati\u00e8re de d\u00e9fauts dans la programmation de bas niveau. Un pirate peut \u00e9crire des donn\u00e9es arbitraires \u00e0 une adresse arbitraire dans la m\u00e9moire de l\u2019appareil.<\/p>\n

Sans entrer dans les d\u00e9tails techniques, il suffit de dire qu\u2019en exploitant la faille d\u00e9couverte, les pirates peuvent acc\u00e9der \u00e0 toutes les donn\u00e9es stock\u00e9es sur l\u2019appareil, y compris les mots de passe saisis par l\u2019utilisateur, les fichiers, les contacts, les donn\u00e9es de g\u00e9olocalisation, ainsi qu\u2019aux capteurs mat\u00e9riels, comme la cam\u00e9ra et le microphone. Dans certains cas, il est possible de contr\u00f4ler enti\u00e8rement l\u2019appareil. Il suffit de quelques minutes d\u2019acc\u00e8s physique \u00e0 l\u2019appareil via une connexion par c\u00e2ble pour que celui-ci soit pirat\u00e9. Vous vous exposez donc \u00e0 un risque si vous confiez votre smartphone \u00e0 un r\u00e9parateur, si vous le remettez \u00e0 une autre personne pour qu\u2019elle le configure et y installe des applications, ou si vous le laissez simplement sans surveillance.<\/p>\n

Appareils concern\u00e9s<\/h2>\n

La vuln\u00e9rabilit\u00e9 CVE-2026-25262 touche les s\u00e9ries de puces Qualcomm suivantes\u00a0: MDM9x07, MDM9x45, MDM9x65, MSM8909, MSM8916, MSM8952 et SDX50, c\u2019est-\u00e0-dire toutes les versions commercialis\u00e9es \u00e0 ce jour, jusqu\u2019\u00e0 ce que le fabricant corrige cette vuln\u00e9rabilit\u00e9.<\/p>\n

Ce ne sont pas des pi\u00e8ces de mus\u00e9e d\u00e9pass\u00e9es. La puce\u00a0MDM9207, que nous avons utilis\u00e9e pour l\u2019essentiel de nos recherches, est int\u00e9gr\u00e9e dans des modules de modem destin\u00e9s \u00e0 l\u2019Internet des objets (IoT), aux \u00e9quipements industriels, aux appareils domestiques intelligents, aux syst\u00e8mes de surveillance m\u00e9dicale, aux traceurs logistiques et aux terminaux bancaires. La puce\u00a0MSM8916 \u00e9quipe de nombreux smartphones d\u2019entr\u00e9e de gamme<\/a>, tandis que la puce SDX50 est utilis\u00e9e dans les unit\u00e9s de commande automobiles.<\/p>\n

Comment les appareils vuln\u00e9rables sont-ils attaqu\u00e9s\u00a0?<\/h2>\n

La difficult\u00e9, c\u2019est que l\u2019attaquant doit avoir physiquement acc\u00e8s \u00e0 l\u2019appareil pour y parvenir. Concr\u00e8tement, les situations peuvent \u00eatre vari\u00e9es\u00a0:<\/p>\n