Alerte VoIP : Une faille critique HP Poly (CVSS 9.2) ouvre la porte aux écoutes et aux Deepfakes vocaux!!

Salut à tous les ingénieurs réseau, administrateurs ToIP et spécialistes de la sécurité des infrastructures,

C'est le genre de vulnérabilité qui rappelle que la sécurité du SI ne s'arrête pas aux serveurs et aux postes de travail. Ce 4 juin 2026, l'actualité cyber met en lumière une faille critique touchant les téléphones et pieuvres de conférence de la gamme HP Poly (ex-Polycom).

Découverte par les chercheurs de Rapid7, la vulnérabilité permet à un attaquant non authentifié de prendre le contrôle total (root) des appareils. Au-delà de l'espionnage traditionnel, les experts alertent sur un nouveau danger : le vol de flux audio pour alimenter des arnaques au président basées sur des deepfakes vocaux par IA.

Les équipements touchés et les correctifs disponibles

La faille, estampillée CVE-2026-0826, affiche un score de gravité CVSS de 9.2. Elle impacte une très large partie du parc d'entreprise HP Poly :

• Séries affectées : Tous les téléphones de la gamme HP Poly VVX ainsi que les terminaux de conférence de salon Trio 8300, 8500 et 8800.

• Les correctifs (Logiciel UCS) : HP a déployé des patchs qu'il faut appliquer au plus vite via votre serveur de provisionnement :

  • Version 6.4.8 pour les terminaux VVX

  • Version 8.1.7 pour le Trio 8300

  • Version 7.2.8 pour les Trio 8500 et 8800

Contrôle compensatoire immédiat : La faille réside dans la fonctionnalité ICE (Interactive Connectivity Establishment), utilisée pour optimiser les flux peer-to-peer. Cette option n'étant pas activée par défaut, la consigne absolue est de la désactiver immédiatement sur vos profils de configuration si vos routeurs/SBC s'occupent déjà du NAT.

L'anatomie de l'attaque : Un bon vieux Buffer Overflow de pile

Pour les passionnés de reverse-engineering, l'analyse technique publiée par Rapid7 montre que l'attaque est d'une efficacité redoutable. Un module d'exploit fonctionnel a d'ailleurs déjà été intégré au framework Metasploit.

L'attaque s'appuie sur l'envoi d'une simple requête SIP INVITE contenant un attribut réseau malicieux (un attribut "candidate" conforme à la norme RFC8839 mais démesurément long) :

1. L'absence de contrôle : Dans le binaire polyapp du téléphone, la fonction ParseICECandidate utilise un appel memcpy pour copier la chaîne entrante dans un tampon de pile de seulement 256 octets, sans vérifier la taille de la source.

2. Le contournement de l'ASLR : Bien que la protection ASLR soit active sur le noyau Linux des téléphones, les développeurs de HP ont oublié de randomiser les adresses de chargement des bibliothèques partagées (.so), comme la libc.

3. La chaîne ROP : L'adresse de la libc étant fixe et prévisible, l'attaquant peut injecter une chaîne ROP (Return-Oriented Programming) pour forcer le processeur du téléphone à exécuter des commandes système arbitraires avec les privilèges root.

Le terminal VoIP : L'angle mort idéal pour les pirates de l'ère IA

Pourquoi cette faille est-elle particulièrement inquiétante pour les RSSI ?

• L'absence d'EDR : Contrairement à un serveur Windows ou un PC portable, on ne peut pas installer d'agent de sécurité de type EDR sur un téléphone de bureau. C'est un point d'ancrage parfait pour s'infiltrer silencieusement sur un VLAN, scanner le réseau interne ou initier un pivot.

• La ruée vers l'or des données vocales : Aujourd'hui, les cybercriminels n'ont plus besoin d'heures d'enregistrement pour cloner une voix. Quelques dizaines de secondes d'un flux audio de haute qualité suffisent à une IA générative pour créer un clone vocal parfait.

En prenant le contrôle d'une pieuvre Trio dans une salle du conseil d'administration, les attaquants peuvent enregistrer les conversations des dirigeants à leur insu. Ces fichiers audio servent ensuite à générer des deepfakes vocaux ultra-réalistes, capables de tromper des collaborateurs ou des partenaires financiers lors d'appels téléphoniques frauduleux pour valider des virements bancaires urgents.

L'avis du blog :

On traite souvent la VoIP comme une infrastructure réseau secondaire, isolée dans son coin, mais cette CVE-2026-0826 rappelle que ces téléphones sont des ordinateurs Linux à part entière, dotés de micros et branchés sur nos réseaux. À l'ère des outils de clonage vocal par IA, un micro d'entreprise piraté est une mine d'or pour l'ingénierie sociale moderne.

Si vous gérez une infrastructure de communication unifiée, ne traînez pas : vérifiez vos fichiers de configuration de provisionnement (généralement via FTP/HTTPS) pour désactiver l'ICE ou poussez la mise à jour UCS d'HP dès cette semaine. Bon courage pour les déploiements !