🔍 Contexte

Publié le 16 juin 2026 sur le blog Kaspersky, cet article rapporte la découverte par Alexander Kozlov et Sergey Anufrienko (Kaspersky ICS CERT) d’une vulnérabilité critique dans les puces Qualcomm, présentée lors de la conférence Black Hat Asia 2026.

🧩 Nature de la vulnérabilité

La faille, référencée CVE-2026-25262, est classée CWE-123 (Write-What-Where Condition) et réside dans la BootROM des puces Qualcomm, plus précisément dans le protocole Sahara, composant du mode de téléchargement d’urgence (EDL). Ce protocole s’exécute avant tout système d’exploitation, avant toute vérification de droits ou contrôle de sécurité.

La vulnérabilité permet à un attaquant d’écrire des données arbitraires à une adresse arbitraire en mémoire, compromettant ainsi la chaîne de confiance au niveau le plus bas du démarrage.

🎯 Impact

Un attaquant disposant d’un accès physique de quelques minutes via câble USB peut :

  • Accéder à toutes les données (mots de passe, fichiers, contacts, géolocalisation)
  • Activer les capteurs matériels (caméra, microphone)
  • Prendre le contrôle complet de l’appareil
  • Implanter une porte dérobée indétectable par les outils classiques

📦 Puces et appareils concernés

Séries de puces affectées :

  • MDM9x07, MDM9x45, MDM9x65 (IoT, équipements industriels, domotique, médical, logistique, terminaux bancaires)
  • MSM8909, MSM8916, MSM8952 (smartphones d’entrée de gamme)
  • SDX50 (unités de commande automobiles)

⚠️ Scénarios d’exploitation

  • Réparations dans des ateliers indépendants
  • Contrôles douaniers avec rétention d’appareils
  • Arnaques aux objets trouvés
  • Espionnage industriel interne

🔧 Statut du correctif

Qualcomm a été notifié en mars 2025 et a confirmé la faille. La vulnérabilité est fondamentalement impossible à corriger sur les appareils déjà fabriqués (BootROM en lecture seule). Qualcomm s’est engagé à produire les futures puces sans cette faille. Les détails techniques ont été publiés par Kaspersky ICS CERT le 20 avril 2026, et Qualcomm a mentionné la faille dans son bulletin de sécurité de mai 2026.

📰 Type d’article

Il s’agit d’une publication de recherche à visée informative, présentant une découverte originale de Kaspersky ICS CERT sur une vulnérabilité matérielle critique affectant un large écosystème d’appareils Qualcomm.

🧠 TTPs et IOCs détectés

TTP

  • T1542.003 — Pre-OS Boot: Bootkit (Defense Evasion)
  • T1200 — Hardware Additions (Initial Access)
  • T1556 — Modify Authentication Process (Credential Access)
  • T1005 — Data from Local System (Collection)

IOC

  • CVEs : CVE-2026-25262NVD · CIRCL

🟡 Indice de vérification factuelle : 46/100 (moyenne)

  • ⬜ kaspersky.fr — source non référencée (0pts)
  • ✅ 9359 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 1 IOC(s) (6pts)
  • ⬜ pas d’IOC vérifié (0pts)
  • ✅ 4 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ⬜ aucun acteur de menace nommé (0pts)
  • ⬜ 0/1 CVE(s) confirmée(s) (0pts)

🔗 Source originale : https://www.kaspersky.fr/blog/qualcomm-cve-2026-25262/23988/