wolfSSL corrige une faille de sécurité critique, des milliards d’appareils connectés potentiellement menacés
Un défaut dans la vérification cryptographique des certificats peut amener un système vulnérable à faire confiance à un faux serveur. Le correctif a déjà été publié par wolfSSL et doit désormais être déployé sur les produits concernés.
wolfSSL vient de patcher une faille critique dans sa bibliothèque TLS/SSL, utilisée pour sécuriser les connexions chiffrées d’une foule de routeurs, d’objets connectés, de systèmes industriels ou de plateformes comme FreeRTOS et OpenWRT.
On la retrouve aussi dans des usages plus visibles, comme Lightway, le protocole VPN d’ExpressVPN.
Un périmètre loin d’être marginal, alors que wolfSSL revendique plus de 5 milliards d’applications et d’appareils sécurisés par ses technologies.
Une vérification incomplète des signatures numériques
Référencée CVE-2026-5194 (CVSS 9.3), la vulnérabilité corrigée relève d’une faille cryptographique qui touche la vérification de certaines signatures numériques utilisées par les certificats.
Elle concerne plusieurs algorithmes, dont ECDSA/ECC, DSA, ML-DSA, Ed25519 et Ed448, et se manifeste au moment où un appareil ou un logiciel doit décider s’il peut faire confiance à un serveur ou à un service.
Le problème tient à un contrôle incomplet de l’algorithme de hachage et de la taille du digest, soit l’empreinte numérique calculée à partir des données signées et utilisée comme base de la vérification.
Dans certains cas, wolfSSL pouvait ainsi accepter un digest plus petit que celui normalement requis.
Un certificat pouvait donc être validé sur une base cryptographique plus faible qu’attendu.
Un attaquant pouvait alors tenter de présenter un certificat forgé qu’un système vulnérable risquait d’accepter comme légitime.
Si cette tentative aboutissait, un serveur ou un service malveillant pouvait se faire passer pour une entité de confiance et, selon le contexte, intercepter des échanges ou accéder à des informations qui n’auraient pas dû lui être accessibles.
Un correctif disponible, mais un inventaire à faire sans tarder
wolfSSL a corrigé CVE-2026-5194 dans la version 5.9.1, publiée le 8 avril 2026.
La mise à jour concerne surtout les appareils et logiciels qui intègrent cette bibliothèque pour gérer les connexions TLS, en particulier dans les équipements embarqués, les objets connectés, les routeurs, certains systèmes industriels ou des environnements comme OpenWRT et FreeRTOS.
Pour les équipes techniques, le point de départ consiste donc à identifier les produits dans lesquels wolfSSL est présent, puis à vérifier quelle version est embarquée.
Une tâche nécessaire, mais pas forcément suffisante pour agir tout de suite.
Sur de nombreux équipements déjà en service, wolfSSL est en effet intégré au firmware ou à une pile logicielle fournie par un tiers, si bien que le déploiement du correctif dépendra ensuite du constructeur, de l’éditeur ou du fournisseur concerné.





Reply With Quote