**wolfSSL**, une implémentation TLS/SSL légère largement utilisée dans les systèmes embarqués, les appareils IoT et diverses autres applications, fait l'objet d'un examen minutieux en raison d'une vulnérabilité nouvellement découverte. ### La Vulnérabilité : CVE-2026-5194 Les chercheurs ont identifié **CVE-2026-5194**, une faille de validation cryptographique affectant plusieurs algorithmes de signature au sein de **wolfSSL**. Cette vulnérabilité permet d'accepter des digests incorrectement faibles lors de la vérification des certificats, permettant potentiellement aux attaquants d'utiliser des certificats forgés. La faille affecte plusieurs algorithmes, notamment ECDSA/ECC, DSA, ML-DSA, Ed25519 et Ed448. La vulnérabilité a été découverte par Nicholas Carlini de **Anthropic**. ### Impact Selon les experts, une exploitation réussie de **CVE-2026-5194** pourrait tromper les applications ou les appareils utilisant une version vulnérable de **wolfSSL** pour qu'ils acceptent une fausse identité numérique. Cela pourrait conduire à ce qu'un serveur, un fichier ou une connexion malveillante soit considéré comme fiable alors qu'il aurait dû être rejeté. Un attaquant pourrait exploiter cette faiblesse en fournissant un certificat forgé avec un digest plus petit que ce qui est cryptographiquement approprié, rendant la signature plus facile à falsifier ou à reproduire. ### Atténuation La vulnérabilité a été corrigée dans la version 5.9.1 de **wolfSSL**, publiée le 8 avril. Il est fortement conseillé aux utilisateurs de mettre à jour vers cette version ou une version ultérieure. "Les vérifications manquantes de la taille et de l'OID du hachage/digest permettent d'accepter des digests plus petits que ceux autorisés lors de la vérification des certificats ECDSA, ou plus petits que ce qui est approprié pour le type de clé concerné, par les fonctions de vérification de signature", indique l'avis de sécurité. ### Avis des Fournisseurs Les administrateurs système gérant des environnements qui dépendent des paquets de distribution Linux, des firmwares de fournisseurs et des SDK embarqués devraient également rechercher les avis des fournisseurs en aval pour des instructions spécifiques. Par exemple, l'avis de **Red Hat** indique que MariaDB n'est pas affecté car il utilise OpenSSL plutôt que wolfSSL pour les opérations cryptographiques. Il est conseillé aux organisations utilisant **wolfSSL** de passer en revue leurs déploiements et d'appliquer rapidement les mises à jour de sécurité pour garantir que la validation des certificats reste sécurisée.