Une enceinte a 283$ qui se transforme en BadUSB

La Sound Blaster Katana V2X est une barre de son gaming bien notee, vendue par Creative Technologies a 283$. Elle se connecte en USB a un PC, un Mac ou une machine Linux, et propose aussi une liaison Bluetooth. C'est cette derniere qui pose probleme. Source : Ars Technica, blog.nns.ee (Rasmus Moorats).

Le chercheur en securite Rasmus Moorats a decouvert que l'enceinte accepte les commandes Bluetooth sans aucun couplage prealable et sans authentification. N'importe qui a portee Bluetooth (10 a 100 metres) peut envoyer des instructions au firmware de l'appareil — y compris un nouveau firmware non signe.

La chaine d'attaque, etape par etape

L'attaque exploite un protocole proprietaire appele CTP (Creative Transport Protocol), utilise par l'application compagnon pour controler les LED, l'egaliseur ou mettre a jour le firmware. Voici comment Moorats l'a detournee :

  • Etape 1 — Connexion forcee : un attaquant a portee Bluetooth envoie des commandes CTP a l'enceinte, sans couplage. Aucun code PIN ni confirmation utilisateur n'est requis.
  • Etape 2 — Firmware malveillant : le protocole CTP inclut une commande de mise a jour du firmware. Le firmware n'a pas besoin d'etre signe — n'importe quel binaire est accepte.
  • Etape 3 — Reboot force : l'attaquant ordonne un redemarrage de l'enceinte. Le nouveau firmware est flashe pendant le boot.
  • Etape 4 — Emulation clavier USB : l'enceinte fonctionne sous FreeRTOS et dispose deja de fonctions HID pour les touches media. Le firmware malveillant ajoute un descripteur de clavier USB.
  • Etape 5 — Execution de commandes : le PC connecte en USB voit apparaitre un nouveau clavier. L'enceinte « tape » alors les frappes programmees — par exemple ouvrir PowerShell et executer un script malveillant.

Verbatim du chercheur : « En enchainant le tout, j'ai pu, entierement a distance, sans fil, uploader un firmware personnalise sur une enceinte avec laquelle je n'avais jamais ete couple — qui a redemarre, flashe le firmware malveillant, et tape la commande 'echo pwned' avant de l'executer. » — Rasmus Moorats

Pire : Moorats precise qu'un veritable attaquant desactiverait la routine de mise a jour du firmware dans le code malveillant, rendant l'appareil impossible a nettoyer. Seul un remplacement physique de la puce pourrait corriger l'infection.

Pourquoi Creative refuse de patcher

Le chercheur a signale ses decouvertes a Creative Technologies, sans reponse directe. Le CERT de Singapour (pays du fabricant) est intervenu. La reponse de Creative est sans equivoque : les ingenieurs ne considerent pas ce comportement comme une vulnerabilite.

Cette posture est problematique a plusieurs titres :

  • Le Bluetooth de l'enceinte est toujours actif, meme en veille, sans possibilite de le desactiver
  • Le firmware n'exige aucune signature numerique, contrairement aux bonnes pratiques de l'industrie
  • L'absence totale d'authentification Bluetooth est une violation des principes elementaires de securite IoT

Portee de l'attaque et risques reels

L'attaque n'est pas un exploit Internet. L'attaquant doit etre a portee Bluetooth (10-100 metres selon la classe de l'emetteur). Les scenarios realistes incluent :

  • Open space : un collegue ou un visiteur dans la meme piece ou le bureau adjacent
  • Immeuble residentiel : un voisin a l'etage ou dans l'appartement mitoyen
  • Espaces publics : un utilisateur qui laisse son PC sans surveillance dans un coworking, un salon ou un hall d'aeroport

L'attaque est particulierement pernicieuse parce qu'elle ne laisse aucune trace visible sur l'enceinte : le firmware persiste, le Bluetooth reste actif, et l'utilisateur ne voit qu'une barre de son qui fonctionne normalement.

Ce que cela dit de la securite des peripheriques IoT

Cette affaire illustre un probleme plus large : les peripheriques hybrides USB/Bluetooth sont un vecteur d'attaque sous-estime. Un appareil percu comme un simple haut-parleur peut devenir un clavier, une souris, ou une interface reseau des lors que son firmware est modifie.

Le cas de la Sound Blaster Katana V2X n'est probablement pas isole. De nombreux peripheriques gaming, hubs USB, stations d'accueil et accessoires embarquent des microcontroleurs capables d'emuler des peripheriques HID. La combinaison Bluetooth non securise + firmware non signe + interface USB est une faille systemique, pas une anomalie.

A retenir

  • Attaque sans fil et sans contact : l'enceinte Sound Blaster Katana V2X est piratable a distance via Bluetooth, sans couplage prealable.
  • Firmware non signe : le protocole CTP accepte n'importe quel binaire, permettant de transformer l'enceinte en clavier USB malveillant.
  • Persistence : un attaquant peut verrouiller le firmware pour empecher toute correction ulterieure.
  • Creative refuse de corriger : le fabricant ne considere pas ce comportement comme une vulnerabilite.
  • Lecon plus large : les peripheriques hybrides USB/Bluetooth sont un vecteur d'attaque sous-estime dans la securite des postes de travail.
← Retour aux news Publie le 6 juin 2026 · Sources : Ars Technica, blog.nns.ee (Rasmus Moorats)