🔍 Contexte

Publié le 8 mai 2026 sur GitHub par le chercheur Ashen Chathuranga (ktauchathuranga), ce dépôt présente l’advisory de sécurité et le proof-of-concept associés à CVE-2025-70994, une vulnérabilité affectant le système d’entrée sans clé du vélo électrique Yadea T5 (modèles fabriqués à partir de 2024). La divulgation coordonnée a eu lieu le 23 avril 2026 en partenariat avec la CISA (DHS) et le CERT/CC.

🛡️ Vulnérabilité

La faille est classifiée CWE-1390 (Weak Authentication) et reçoit un score CVSS v3.1 de 7.3 (High) avec le vecteur AV:A/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:H/E:P/RL:U/RC:C.

Le système utilise le protocole RF EV1527 à code fixe sur la bande 433.92 MHz ISM (ASK/OOK). Chaque trame de 24 bits est composée de :

  • 20 bits d’adresse statique (identifiant unique du télécommande)
  • 4 bits de commande (Bell, Start, Unlock, Lock)

L’authentification repose uniquement sur la vérification de l’adresse 20 bits, qui ne change jamais. Il n’existe aucun rolling code ni mécanisme de challenge-response cryptographique.

⚡ Mécanisme d’exploitation

Un attaquant à proximité peut :

  1. Intercepter passivement n’importe quelle transmission légitime (ex : commande Bell 0x1)
  2. Extraire l’adresse 20 bits statique
  3. Synthétiser une trame 24 bits en ajoutant le code de commande Start/Ignition (0x2)
  4. Rejouer la trame forgée pour démarrer le véhicule sans autorisation

Les mappings de commandes standards sont : 0x1 (Bell), 0x2 (Start/Ignition), 0x4 (Unlock), 0x8 (Lock).

🧪 Proof of Concept

Le PoC fourni (poc_analyzer.cpp) est un script Arduino passif pour ESP8266 + module RF CC1101 qui décode les trames EV1527 reçues sur 433.92 MHz. Il est présenté comme un analyseur passif sans capacité de transmission.

📅 Timeline de divulgation

  • 2025-12-31 : Divulgation initiale au fabricant
  • 2026-02-24 : Attribution du CVE par MITRE
  • 2026-03-03 : Coordination via US CERT/CC (VINCE)
  • 2026-03-31 : Coordination CISA, embargo étendu
  • 2026-04-23 : Publication coordonnée avec la CISA (ICSA-26-113-01)

📄 Type d’article

Il s’agit d’un rapport de vulnérabilité accompagné d’un PoC, publié dans le cadre d’une divulgation coordonnée avec des autorités fédérales américaines, visant à documenter une faille matérielle dans un système embarqué IoT/transport.

🧠 TTPs et IOCs détectés

TTP

  • T1040 — Network Sniffing (Credential Access)
  • T1111 — Multi-Factor Authentication Interception (Credential Access)
  • T1600 — Weaken Encryption (Defense Evasion)

IOC

  • CVEs : CVE-2025-70994NVD · CIRCL
  • Fichiers : poc_analyzer.cpp

Malware / Outils

  • poc_analyzer (tool)

🟡 Indice de vérification factuelle : 46/100 (moyenne)

  • ⬜ github.com — source non référencée (0pts)
  • ✅ 6258 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 2 IOC(s) (6pts)
  • ⬜ pas d’IOC vérifié (0pts)
  • ✅ 3 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ⬜ aucun acteur de menace nommé (0pts)
  • ⬜ 0/1 CVE(s) confirmée(s) (0pts)

🔗 Source originale : https://github.com/ktauchathuranga/CVE-2025-70994