Longtemps considéré comme un simple accessoire technique, le commutateur KVM revient sur le devant de la scène pour de mauvaises raisons. Un modèle grand public, vendu à moins de 30 euros, a récemment été au centre d’une découverte troublante : la présence d’un micro actif, capable d’enregistrer et de transmettre de l’audio sur le réseau. Une affaire qui soulève de sérieuses questions sur la sécurité de ces boîtiers de plus en plus connectés.
À quoi sert réellement un commutateur KVM ?
Le principe d’un commutateur KVM est simple. Il permet de contrôler plusieurs ordinateurs à l’aide d’un seul clavier, d’une seule souris et d’un seul écran. Très utilisé dans les entreprises, les salles serveurs ou par les utilisateurs avancés, il existe aujourd’hui une grande variété de modèles : KVM USB, HDMI, DisplayPort ou encore KVM sur IP, accessibles à distance via Internet.
Mais avec l’évolution des usages, ces boîtiers ont gagné en complexité. Certains embarquent désormais de véritables systèmes Linux miniatures, capables de gérer le réseau, les mises à jour ou l’administration à distance.
Un micro dissimulé dans un boîtier KVM low cost
C’est en démontant un NanoKVM, un commutateur KVM d’origine chinoise vendu entre 30 et 70 euros, qu’un chercheur en cybersécurité a fait une découverte inattendue. Sous un connecteur, quasiment invisible à l’œil nu, se trouvait un micro MEMS de quelques millimètres seulement.
Ce composant, minuscule mais fonctionnel, était capable d’enregistrer de l’audio avec une qualité jugée étonnamment correcte. Plus inquiétant encore : le firmware de l’appareil intégrait déjà tous les outils nécessaires pour activer ce micro à distance, enregistrer le son ou le diffuser en temps réel sur le réseau local.
Une faille matérielle… mais surtout logicielle
Contrairement à ce que l’on pourrait craindre, rien n’indique l’existence d’un dispositif d’espionnage volontaire. Le NanoKVM repose sur un module générique, conçu à l’origine pour de nombreux usages embarqués, dont certains nécessitent de l’audio.
Lors de sa transformation en produit grand public, le fabricant a conservé ce micro sans le désactiver ni même le mentionner dans la documentation. Une négligence lourde de conséquences, révélatrice d’un manque d’audit de sécurité.
Des vulnérabilités qui vont bien au-delà du micro
L’enquête a rapidement mis en lumière d’autres problèmes. Les premières versions de ce commutateur KVM étaient livrées avec :
- un mot de passe par défaut actif,
- un accès SSH ouvert,
- une interface web sans protection CSRF,
- une clé de chiffrement identique sur tous les appareils,
- des mises à jour firmware téléchargées sans vérification d’intégrité.
Autrement dit, le boîtier pouvait devenir une porte d’entrée idéale sur un réseau professionnel ou domestique.
Le fabricant contraint de réagir
Face à la publication du rapport, le fabricant a corrigé plusieurs failles, mis à jour la documentation et annoncé que les prochaines versions matérielles ne comporteraient plus de composants audio. Les firmwares récents désactivent également les pilotes liés au micro.
La nature open source du projet a aussi permis à la communauté de proposer des distributions Linux alternatives, offrant aux utilisateurs un meilleur contrôle sur ce qui s’exécute réellement sur leur appareil.
Un rappel salutaire pour les utilisateurs
Cette affaire rappelle une réalité souvent oubliée : un commutateur KVM connecté est un équipement réseau à part entière. À ce titre, il doit être choisi, configuré et maintenu avec la même rigueur qu’un routeur ou un NAS.
L’Agence nationale de la sécurité des systèmes d’information recommande d’ailleurs de renforcer la vigilance autour des équipements matériels connectés, notamment lorsqu’ils sont intégrés à un système d’information sensible (anssi.gouv.fr).
