Une faille de sécurité critique a été découverte et patchée dans la bibliothèque wolfSSL, particulièrement utilisée sur les systèmes embarqués et l’IoT. En exploitant cette faille, des attaquants pourraient générer de faux certificats SSL/TLS qui seraient alors approuvés par les utilisateurs. Voici ce que l’on sait sur cette vulnérabilité.

Une faille dans wolfSSL : CVE-2026-5194

Codée en C, la bibliothèque wolfSSL est très utilisée dans les systèmes embarqués, y compris dans l’industrie, au sein des objets connectés (IoT) et par certains capteurs ou routeurs. À en croire le site web de ce projet, plus de 5 milliards d’applications et d’appareils utilisent cette bibliothèque.

Le problème, c’est qu’elle est affectée par une faille de sécurité : la CVE-2026-5194 (score CVSS de 9.3 sur 10). Cette faiblesse est liée à un problème de vérification lors de la validation des signatures ECDSA (Elliptic Curve Digital Signature Algorithm).

Voici les précisions apportées par le bulletin de sécurité publié sur GitHub : “L’absence de vérification de la taille du hachage/digest et de l’OID permet aux fonctions de vérification de signature d’accepter des digests dont la taille est inférieure à celle autorisée lors de la vérification des certificats ECDSA, ou inférieure à celle appropriée pour le type de clé concerné.”

Le risque principal avec cette vulnérabilité, c’est qu’un pirate l’exploite pour forcer un appareil ou une application cible à accepter des certificats falsifiés destinés à établir une connexion à des serveurs malveillants.

Sur X, le chercheur Lukasz Olejnik précise : “Une faille de sécurité critique découverte par un chercheur d’Anthropic (à l’aide de l’IA) affecte wolfSSL, une bibliothèque utilisée dans divers produits, allant des applications VPN et des routeurs domestiques aux systèmes automobiles, en passant par les infrastructures électriques et les systèmes militaires. La faille CVE-2026-5194 pourrait permettre à un appareil ou à une application d’accepter une identité numérique falsifiée comme authentique, et ainsi de faire confiance à un serveur, un fichier ou une connexion malveillant(e) qu’il aurait dû rejeter.”

Comment se protéger ?

La faille de sécurité CVE-2026-5194 a été corrigée dans la version 5.9.1 de wolfSSL, publiée le 8 avril 2026. Si vous utilisez cette librairie ou que vous l’avez implémentée dans une application, il est recommandé d’appliquer la mise à jour.

Avec ce type de correctif de sécurité, le problème réside plutôt dans le suivi des mises à jour. Si vous disposez d’un équipement qui embarque wolfSSL, ce n’est pas à vous de faire le nécessaire, mais au fabricant. Généralement, la mise à jour de ce composant est effectuée via une mise à jour du firmware. Faut-il en savoir quels sont les applications ou équipements qui utilisent wolfSSL… Du point de vue de l’utilisateur final, ce n’est pas simple.

Si votre application s’appuie sur OpenSSL, vous n’êtes pas concerné. En effet, il s’agit de projets distincts même s’ils peuvent accomplir des tâches similaires.

Source