Une dépendance que presque personne ne voit
Le 1 juillet 2026, la société de sécurité runZero a divulgué sept vulnérabilités dans FatFs, une petite bibliothèque qui permet à un appareil de lire et d'écrire les formats FAT et exFAT utilisés sur les clés USB et les cartes SD. C'est l'un de ces morceaux de code qui sont partout et visibles de presque personne. Elle est embarquée dans le micrologiciel de caméras de sécurité, de drones, d'automates industriels, de portefeuilles crypto matériels, de bornes publiques, de distributeurs automatiques et de machines à voter munies d'un port USB.
Trois des failles sont classées de gravité élevée. CVE-2026-6682 est un dépassement d'entier lors du montage d'un volume FAT32; CVE-2026-6687 fait déborder un tampon via l'étiquette d'un volume exFAT; CVE-2026-6688 fait déborder le code d'enveloppe que beaucoup de produits ajoutent autour de FatFs. Sur du matériel réel, les pires d'entre elles deviennent une corruption de mémoire et une exécution de code. La bibliothèque atteint ces produits via des boîtes à outils courantes, Espressif ESP-IDF, STMicroelectronics STM32Cube, Zephyr, MicroPython, ArduPilot, RT-Thread, Mbed, Samsung TizenRT et l'outil de mise à jour SWUpdate, ce qui explique précisément pourquoi tant de fournisseurs ignorent encore qu'ils sont dans le rayon d'action.
L'accès physique est le sujet, pas l'excuse
Certains balaieront cela en disant qu'il faut un accès physique. Pour les catégories d'appareils concernées, c'est justement là la vulnérabilité, pas une atténuation. Une caméra de sécurité, une borne publique, un distributeur, une machine à voter: toute la promesse de conception est qu'un membre du public puisse le toucher, ou y brancher quelque chose, sans le compromettre. Ces failles brisent cette promesse. Un attaquant muni d'une clé USB, d'une carte SD ou d'un fichier de mise à jour piégés peut corrompre la mémoire et exécuter du code.
Deux des failles, le dépassement de FAT32 et une division par zéro dans exFAT, sont aussi atteignables via les mises à jour du micrologiciel à distance. Cela élargit l'exposition de la personne debout devant la machine à quiconque peut influencer le canal de mise à jour, et cela signifie qu'une mise à jour ratée peut rendre du matériel inutilisable sur le terrain. runZero a publié des images disque de démonstration, un banc d'essai et un exploit fonctionnel fondé sur QEMU, si bien que le matériel dont aurait besoin un attaquant est déjà à découvert.
Quand le correctif n'a pas de responsable
Le noyau inconfortable de cette histoire, c'est la maintenance. FatFs est tenue par un seul développeur, et runZero indique avoir tenté à plusieurs reprises de joindre ce mainteneur et avoir impliqué le centre de coordination JPCERT/CC du Japon, sans réponse. Une seule des sept failles, un blocage par déni de service, est corrigée officiellement dans la version R0.16. Les six problèmes de corruption de mémoire n'ont aucun correctif officiel, aucune liste de diffusion de sécurité, et aucun mécanisme permettant aux nombreux produits qui intègrent FatFs d'apprendre qu'ils sont concernés.
Voilà à quoi ressemble vraiment le risque moderne de chaîne d'approvisionnement pour les actifs physiques. Non pas une brèche à la une, mais un composant porteur avec un unique point de défaillance humaine, enfoui si profondément que les entreprises qui le livrent ne peuvent pas énumérer leur propre exposition. La méthode de découverte souligne à quel point l'équilibre a basculé: runZero les a trouvées en mars 2026 avec un fuzzer assisté par IA disponible sans effort, un travail qu'un audit manuel des années plus tôt avait manqué. Les outils pour trouver ces failles sont désormais bon marché et largement accessibles, ce qui veut dire que les attaquants les ont aussi.
Ce qu'un propriétaire devrait exiger
Vous ne pouvez pas vous en sortir à coups de patch depuis l'extérieur, alors faites-en une question d'achats et de gestion des fournisseurs. Pour tout parc d'appareils connectés ou embarqués, caméras, automates, bornes, portefeuilles, posez à chaque fournisseur une question directe: votre micrologiciel utilise-t-il FatFs, quelle version, et quel est votre plan pour les six CVE non corrigées? Un fournisseur qui ne peut pas répondre vite vous dit quelque chose sur sa propre visibilité de son code.
En interne, traitez les ports physiques et les canaux de mise à jour comme une surface d'attaque vivante. Limitez qui peut brancher un support sur des appareils exposés, et confirmez que les mises à jour du micrologiciel sont signées et validées avant d'être appliquées. Le propre conseil de runZero aux équipes d'ingénierie, auditez votre version intégrée, auditez vos enveloppes, auditez votre traitement des noms et des tailles de fichiers, est la liste à remettre à tout fournisseur qui construit du matériel pour vous.
À lire ensuite: Les identités machine dépassent désormais les salariés à 80 contre 1 | La victoire européenne du puce est dans le silicium ennuyeux



