Une vulnérabilité critique a été mise au jour sur une barre de son de la marque Creative, la Sound Blaster Katana V2X, un appareil audio vendu environ 280 euros.
Le chercheur en sécurité Rasmus Moorats a découvert que cet équipement, connecté à un ordinateur par USB et également doté d'une interface Bluetooth, peut être pris pour cible sans aucune authentification. En analysant le protocole propriétaire de Creative, il a constaté qu'un téléphone pouvait se connecter à l'enceinte sans appairage préalable, puis lui envoyer des commandes, dont une permettant de charger un nouveau micrologiciel.
L'enceinte accepte d'installer un firmware non signé, ouvrant la voie à une compromission totale.
Dans sa démonstration, Moorats a d'abord remplacé le firmware officiel par le sien, le mot « patched » s'affichant sur l'écran LED de l'appareil. Il a ensuite poussé l'expérience plus loin : le chercheur a modifié la configuration USB de l'enceinte pour qu'elle se déclare également comme un clavier. Une fois le firmware malveillant installé, l'enceinte peut alors envoyer des frappes clavier à l'ordinateur hôte sans intervention humaine.
L'attaquant peut ainsi ouvrir un terminal de commandes Windows et y coller des lignes de code malveillant, le tout sans jamais toucher à la machine cible.
Selon les informations communiquées par le chercheur, le module Bluetooth de la barre de son reste actif en permanence, même lorsque l'appareil est en veille, et il n'existe aucun moyen de le désactiver depuis l'interface utilisateur. De plus, le firmware modifié peut être configuré pour bloquer toute mise à jour ultérieure, rendant l'attaque persistante et difficile à neutraliser.
La principale limitation de cette attaque réside dans la portée du signal Bluetooth, qui nécessite que l'assaillant se trouve à proximité immédiate de la cible : un voisin, un colocataire ou un occupant d'un bureau mitoyen.
Creative Technologies, le fabricant singapourien, a été informé de la faille par Moorats.
Face à l'absence de réponse initiale, le chercheur a sollicité le CERT de Singapour, l'agence gouvernementale chargée des alertes de sécurité. Cette intervention a conduit le constructeur à répondre, mais sa position a été jugée préoccupante par la communauté de la sécurité informatique. Les ingénieurs de Creative estiment que ce comportement ne constitue pas un problème de sécurité et ont donc refusé de publier un correctif ou de prendre des mesures pour protéger les utilisateurs.
Cette décision expose les possesseurs de la Sound Blaster Katana V2X à un risque concret d'intrusion informatique.
L'attaque exploite l'absence de vérification de signature du micrologiciel, une pratique pourtant standard dans l'industrie pour empêcher l'exécution de code non autorisé. La possibilité de se faire passer pour un clavier auprès de l'ordinateur hôte aggrave la menace, car elle permet de contourner les protections logicielles habituelles.
En l'absence de patch officiel, les utilisateurs de ce modèle d'enceinte se trouvent dans une situation délicate.
Aucune solution de contournement simple n'a été proposée par le fabricant. Les experts en sécurité recommandent généralement de ne pas connecter à un ordinateur sensible des périphériques présentant de telles vulnérabilités, mais cette mesure n'est pas toujours applicable, notamment pour les joueurs ou les professionnels utilisant cette barre de son comme équipement audio principal.
Cette affaire relance le débat sur la responsabilité des constructeurs en matière de sécurité des objets connectés, en particulier lorsque des composants grand public peuvent servir de passerelle vers des systèmes informatiques plus larges.
