Une faille de sécurité critique a été découverte sur plusieurs webcams Lenovo fonctionnant sous Linux. Ces vulnérabilités permettent à un attaquant à distance de transformer ces périphériques USB en armes de type BadUSB. Dans un monde où les périphériques de confiance peuvent se retourner contre nous, cette menace ne se limite plus aux périphériques infectés physiquement : un pirate peut désormais agir à distance et manipuler la webcam comme s’il utilisait un clavier malveillant. Un scénario inquiétant qui remet en question la sécurité des accessoires USB au sein des entreprises et des foyers.
Des webcams transformées en périphériques malveillants
Une attaque BadUSB exploitée à distance
Les chercheurs en cybersécurité de Eclypsium ont révélé une faille affectant les webcams Lenovo 510 FHD et Lenovo Performance FHD. Ces périphériques tournant sous Linux avec le support USB Gadget peuvent être compromis à distance sans intervention physique. Cette attaque a été baptisée BadCam et présentée lors de la conférence DEF CON 33. Elle représente une première dans le genre : un périphérique USB déjà branché à un ordinateur est reprogrammé à distance pour fonctionner comme un périphérique malveillant.
Une fois compromis, l’accessoire peut injecter des frappes clavier, déployer des charges virales ou maintenir une persistance sur le système cible. Cela permet au pirate de relancer l’infection même après une réinstallation complète de l’ordinateur.
Un firmware vulnérable à la falsification
La cause principale de cette faille repose sur l’absence de vérification du firmware des webcams concernées. Des modifications du microprogramme permettent de réécrire la fonction de la caméra et de la transformer en périphérique HID malveillant sans perte de son apparence ou de ses fonctionnalités normales. Cette approche exploite les faiblesses intrinsèques du standard USB, une technique connue depuis 2014 grâce aux travaux de Karsten Nohl et Jakob Lell.
Une menace persistante pour les entreprises et les particuliers
Un vecteur d’attaque sous-estimé
Jusqu’à présent, les attaques via BadUSB nécessitaient souvent un accès physique ou l’envoi d’une clé USB truquée. Eclypsium démontre que des périphériques non prévus à des fins malveillantes peuvent devenir des vecteurs d’infection majeurs. Cela souligne le risque de faire confiance aux périphériques, même ceux utilisés quotidiennement comme les webcams.
Les attaquants peuvent donc établir un point d’accès persistant au sein d’un système via des composants habituellement considérés comme sûrs. Cette découverte aurait pu inspirer certains chapitres du livre pour hacker, une ressource utile pour apprendre à hacker et comprendre comment les vecteurs d’attaque peuvent évoluer même à travers des périphériques USB classiques.
Des correctifs publiés, mais la vigilance reste de mise
Après un processus de divulgation responsable en avril 2025, Lenovo a publié une mise à jour du firmware (version 4.8.0) pour corriger cette faille. En collaboration avec l’entreprise chinoise SigmaStar, un outil a également été mis à disposition pour bloquer l’exploitabilité des webcams concernées.
Toutefois, cette attaque met en lumière une confiance excessive dans les périphériques USB, internes comme externes, alors même qu’ils peuvent exécuter leur propre système et répondre à des commandes à distance. Les protections classiques des systèmes d’exploitation ne suffisent plus lorsqu’un composant peut agir indépendamment du système hôte.
Quels enseignements tirer de cette faille ?
Les périphériques intelligents comme nouvelle surface d’attaque
À mesure que les équipements périphériques deviennent plus intelligents, notamment grâce à l’intégration de systèmes comme Linux, ils représentent aussi une surface d’attaque plus étendue. Un simple accessoire mal sécurisé peut compromettre un réseau d’entreprise. Cette évolution nécessite une réévaluation de la sécurité des périphériques et l’adoption de politiques de contrôle plus strictes dans les environnements professionnels.
Adopter des pratiques de cybersécurité adaptées
Pour se protéger contre ces nouvelles menaces, il est indispensable de limiter la connectivité des périphériques USB, de mettre régulièrement à jour les firmwares, et d’utiliser des outils de surveillance capables de détecter les comportements suspects, même au niveau hardware. Former les équipes à ces risques est tout aussi essentiel. Pour ceux qui souhaitent apprendre à hacker et mieux comprendre les mécanismes de ces attaques, le livre pour apprendre le hacking proposé par CyberCare constitue un bon point de départ.
Chez CyberCare, nous aidons nos clients à sécuriser leurs équipements USB et à renforcer leurs défenses contre les menaces invisibles comme les attaques BadUSB grâce à des solutions de surveillance et de durcissement adaptées aux environnements critiques.
