Backdoor ou pas ? La question des commandes non documentées

Doit-on considérer comme une backdoor la présence de commandes non documentées dans un microcontrôleur ?

Il y a quelques jours, le terme a été employé à propos des SoC ESP32 de l'entreprise chinoise Espressif Systems. C'était dans le cadre de la conférence RootedCON, à l'initiative d'une entreprise espagnole. Celle-ci avait examiné les bibliothèques pour la stack Bluetooth et découvert un noyau propriétaire contenant des fonctions de gestion d'événements.

Un de ces événements concerne la réception de paquets HCI. Une trentaine des commandes qu'il utilise ne sont pas documentées. Elles permettent, entre autres, de lire et écrire la mémoire, de modifier l'adresse MAC et d'envoyer des paquets LMP (Link Management Protocol) ou LLCP (Logical Link Control Protocol). Assez, nous a-t-on laissé entendre, pour exécuter du code malveillant, usurper l'identité d'appareils de confiance ou se latéraliser sur un réseau.

Espressif Systems se défend...

Inclure de telles commandes non documentées, utilisées essentiellement pour le débogage, est une pratique commune, se défend Espressif Systems. Elles font partie de l'implémentation du protocole HCI, poursuit l'entreprise.

Ce protocole permet la communication entre les deux principales couches de la stack Bluetooth. D'un côté, le contrôleur, qui gère notamment les opérations radio et la gestion de lien. De l'autre, l'hôte, qui traite des éléments tels que l'appairage et le chiffrement. Le premier est implémenté en combinant hardware et software. Le second, exclusivement par logiciel (les ESP32 supportent NimBLE et Bluedroid).

Sur la majorité des applications ESP32*, les deux couches font partie du même binaire. En ce sens, il n'y a pas de risque de sécurité, affirme Espressif Systems : l'application a déjà un accès complet à la mémoire, aux registres et à l'envoi/réception de paquets, indépendamment de la disponibilité des commandes en question.

... mais prévoit un correctif

Il existe toutefois une configuration alternative dans laquelle les commandes HCI sont transmises à un hôte externe sur l'UART (port série). L'ESP32 fait alors office de coprocesseur de communication. Dans ce cas, il fait confiance à l'hôte... qui pourrait effectivement lui envoyer des commandes à des fins malveillantes s'il est compromis.

C'est dans ce contexte qu'Espressif Systems déclare son intention de publier un correctif qui donnera la possibilité de supprimer les commandes problématiques. Commandes qui, par la même occasion, seront officiellement documentées.

* Les SoC ESP32-C, EPS32-S et ESP32-H ne sont pas concernés.

Illustration © Espressif Systems