## Vulnérabilité découverte dans les vélos électriques Yadea T5 Des chercheurs en sécurité ont identifié une vulnérabilité critique dans les vélos électriques **Yadea** T5 qui pourrait permettre à des acteurs malveillants de voler les véhicules. La faille, **CVE-2025-70994**, découle d'un mécanisme d'authentification faible qui rend les vélos susceptibles à l'usurpation de signal. ### Détails techniques La vulnérabilité réside dans le processus d'authentification du porte-clés du vélo. Un attaquant local qui intercepte les transmissions légitimes du porte-clés peut usurper des signaux pour déverrouiller et démarrer le vélo. Selon la **Cybersecurity and Infrastructure Security Agency (CISA)**, une exploitation réussie de cette vulnérabilité pourrait directement entraîner le vol du véhicule. Le produit affecté est : * Vélo électrique Yadea T5 : versions all/*  ### Score CVSS et produits affectés La vulnérabilité a un score CVSS v3 de 7.3, indiquant une gravité élevée. Le tableau suivant résume les détails clés : | CVSS | Fournisseur | Équipement | Vulnérabilités | | :----- | :---------- | :-------------------------- | :------------------ | | v3 7.3 | Yadea | Vélo électrique Yadea T5 | Authentification faible | La Common Weakness Enumeration (CWE) associée à cette vulnérabilité est CWE-1390, qui traite spécifiquement de l'authentification faible. ### Impact * **Secteurs d'infrastructure critiques :** Systèmes de transport * **Pays/Régions de déploiement :** Monde entier * **Lieu du siège social de l'entreprise :** Chine ### Atténuation et recommandations Bien qu'aucun correctif spécifique ou mise à jour du firmware n'ait été publié par **Yadea** au moment de la rédaction, la **CISA** recommande aux organisations de mettre en œuvre des stratégies de cybersécurité recommandées pour une défense proactive. Celles-ci comprennent : * La mise en œuvre de stratégies de défense en profondeur. * La surveillance des activités réseau suspectes. * Le suivi des procédures internes établies et la communication des découvertes à la **CISA** pour le suivi et la corrélation avec d'autres incidents. La **CISA** fournit des orientations supplémentaires et des pratiques recommandées sur sa page web ICS. ### Remerciements Ashen Chathuranga a signalé cette vulnérabilité à **MITRE** et à la **CISA**. ### Références * [Page web ICS de la CISA](https://www.cisa.gov/ics) * [CVE-2025-70994](https://www.cve.org/CVERecord?id=CVE-2025-70994) * [CWE-1390](https://cwe.mitre.org/data/definitions/1390.html)