Quand vos webcams Lenovo vous espionnent

Imaginez. Vous êtes tranquillement en train de bosser sur votre PC, votre webcam Lenovo tranquillement posée sur votre écran, et vous ne vous doutez de rien. Sauf que pendant ce temps, un cybercriminel à l’autre bout du monde a trafiqué votre innocente caméra pour qu’elle tape des commandes sur votre clavier sans que vous ne voyiez rien. Et même si vous formatez votre PC, elle continuera son petit manège.

C’est exactement ce qu’ont réussi à démontrer les chercheurs d’Eclypsium lors de la DEF CON 33. Paul Asadoorian, Mickey Shkatov et Jesse Michael ont en effet découvert une faille monumentale dans les webcams Lenovo 510 FHD et Performance FHD. Le bug, baptisé BadCam et référencé sous la CVE-2025-4371, et permet de transformer à distance ces webcams en dispositifs BadUSB.

Pour ceux qui ne connaissent pas BadUSB, c’est une technique d’attaque qui fait croire à votre ordinateur qu’un périphérique USB est autre chose que ce qu’il prétend être. Dans ce cas, votre webcam peut soudainement se faire passer pour un clavier et commencer à taper des commandes, sauf qu’ici, c’est encore pire puisque l’attaque peut se faire entièrement à distance, sans que personne ne touche physiquement à votre webcam.

Le problème vient du fait que ces webcams tournent sous Linux avec un processeur ARM SigmaStar SSC9351D. Elles utilisent le USB Gadget subsystem de Linux, qui permet à un périphérique USB de changer de rôle. Normalement, c’est pratique pour faire du debug ou créer des périphériques multifonctions. Mais dans le cadre de cette exploitation de bug, c’est pas foufou.

Ainsi, un attaquant qui a déjà un accès distant à votre machine (via un malware classique par exemple) peut identifier votre webcam Lenovo connectée. Il pousse alors une mise à jour firmware malveillante vers la caméra. Puis la webcam devient alors un dispositif BadUSB qui peut injecter des commandes clavier, installer des backdoors, voler vos mots de passe… bref, tout ce qu’un clavier peut faire en fait.

Et le plus “drôle” c’est que la webcam continue de fonctionner normalement en tant que caméra. Vous pouvez donc toujours faire vos visios Zoom en slip, car elle filme toujours et rien ne laisse supposer qu’elle est compromise. Et comme le malware réside dans le firmware de la webcam et non sur votre disque dur, vous pouvez reformater votre PC autant de fois que vous voulez, la webcam restera infectée et réinfectera votre système à chaque redémarrage.

Les chercheurs ont aussi découvert un autre vecteur d’attaque encore plus vicieux. Un attaquant peut vous envoyer une webcam déjà backdoorée par la poste. Genre un “cadeau” d’entreprise ou une webcam d’occasion sur LeBonCoin. Vous la branchez, et hop, vous êtes compromis. La webcam peut alors recevoir des commandes à distance et compromettre votre système quand l’attaquant le décide.

Et c’est pas la première fois que des experts en sécurité démontrent qu’un périphérique USB Linux déjà connecté peut être transformé en cyberarme exploitable à distance. Avant, les attaques BadUSB nécessitaient un accès physique pour brancher un périphérique malveillant mais là, on peut “weaponiser” un périphérique légitime qui est déjà sur votre bureau.

Le cœur du problème c’est que ces webcams ne vérifient pas la signature du firmware qu’on leur envoie. N’importe qui peut pousser n’importe quel firmware, et la webcam l’accepte les yeux fermés. C’est comme si votre porte d’entrée acceptait n’importe quelle clé, même un cure-dent.

Bien sûr, Lenovo a été prévenu en avril dernier et a sorti un correctif (firmware version 4.8.0) en août, juste avant la présentation à la DEF CON. Ils ont bossé avec SigmaStar pour créer un outil d’installation qui vérifie maintenant les signatures. Mais comme pour Winrar, combien d’utilisateurs vont vraiment mettre à jour le firmware de leur webcam ? Personne ne fait ça, j’crois…

Et le problème va bien au-delà de ces deux modèles Lenovo car les chercheurs d’Eclypsium ont indiqué que n’importe quel périphérique USB qui tourne sous Linux avec le USB Gadget subsystem pourrait être vulnérable. On parle donc de milliers de modèles de webcams, mais aussi de dispositifs IoT, de hubs USB, et même de certains claviers gaming haut de gamme qui embarquent Linux.

Voilà, donc pour vous protéger, si vous avez une Lenovo 510 FHD ou Performance FHD, foncez sur le site de support Lenovo et installez la mise à jour firmware 4.8.0. Et pour les autres webcams, c’est pareil, méfiez-vous et mettez à jour, car peut-être qu’elle pourrait faire des trucs qu’elle ne devrait pas pouvoir faire.

A partir de maintenant, tout ce qui se connecte à un port USB est votre ennemi !! Oui, surtout ce petit ventilo acheté sur Temu la semaine dernière…

Source : korben.info