Attaque ReVault
Des chercheurs en cybersécurité ont révélé une importante série de vulnérabilités de sécurité dans le micrologiciel ControlVault3 de Dell et les API Windows associées. Si elles étaient exploitées, ces failles pourraient permettre à des attaquants de contourner la connexion Windows, de voler des clés cryptographiques et de conserver un accès durable même après une réinstallation du système d'exploitation, en implantant un code malveillant et furtif directement dans le micrologiciel.
Table des matières
Qui est à risque?
Plus de 100 modèles d'ordinateurs portables Dell équipés de puces Broadcom de la série BCM5820X sont concernés. Bien qu'aucune exploitation active n'ait été détectée à ce jour, l'impact est particulièrement préoccupant pour les secteurs qui s'appuient sur une authentification forte via des lecteurs de cartes à puce ou des dispositifs de communication en champ proche (NFC).
ControlVault est conçu pour stocker en toute sécurité les mots de passe, les modèles biométriques et les codes de sécurité dans le micrologiciel. Malheureusement, l'enchaînement de ces failles permet aux attaquants d'élever les privilèges, de contourner l'authentification et de rester invisibles même après un effacement ou une mise à jour du système.
Les cinq vulnérabilités de ReVault
Les chercheurs ont attribué le nom de code ReVault à ce groupe de failles. Ensemble, elles forment une puissante méthode de persistance post-compromission, capable d'accéder discrètement à des cibles de grande valeur.
- CVE-2025-25050 (CVSS 8.8) – Écriture hors limites dans cv_upgrade_sensor_firmware
- CVE-2025-25215 (CVSS 8.8) – Arbitrairement libre dans cv_close
- CVE-2025-24922 (CVSS 8.8) – Dépassement de tampon basé sur la pile dans securebio_identify
- CVE-2025-24311 (CVSS 8.4) – Lecture hors limites dans cv_send_blockdata
- CVE-2025-24919 (CVSS 8.1) – Désérialisation d'une entrée non fiable dans cvhDecapsulateCmd
Chacune de ces situations peut entraîner des conséquences graves, allant de l’exécution de code arbitraire à des fuites d’informations.
Accès physique : un raccourci direct pour les attaquants
Même sans exploitation à distance, un attaquant local disposant d'un accès physique pourrait ouvrir l'ordinateur portable et cibler directement la carte Unified Security Hub (USH). Cela permettrait d'exploiter n'importe quelle vulnérabilité sans se connecter ni connaître le mot de passe de chiffrement intégral du disque.
Cela rend ReVault dangereux non seulement en tant que technique de persistance à distance, mais également en tant que méthode de compromis physique pour contourner la connexion Windows ou accorder des privilèges administratifs à un utilisateur local.
Réduire le risque
Les experts en sécurité recommandent aux utilisateurs d'appliquer sans délai les correctifs officiels de Dell, de désactiver les services ControlVault lorsque les lecteurs biométriques, de cartes à puce ou NFC ne sont pas utilisés et, dans les environnements à haut risque, de désactiver complètement la connexion par empreinte digitale afin de réduire les risques potentiels. Ces mesures permettent de combler les failles de sécurité connues que les attaquants pourraient exploiter pour obtenir un accès non autorisé ou maintenir leur présence sur les appareils compromis. En limitant l'utilisation de matériel d'authentification potentiellement vulnérable, les entreprises peuvent réduire considérablement leur surface d'attaque. Des audits de sécurité réguliers et une surveillance vigilante doivent également faire partie d'une stratégie de défense plus globale pour assurer une protection continue contre les menaces émergentes.
