Mise à jour : Espressif a répondu le 10 mars en publiant un poste sur les supposées portes dérobées. "Récemment, certains médias ont fait état d'un communiqué de presse qui accusait initialement les puces ESP32 d'avoir une « porte dérobée ». Il convient de noter que le communiqué de presse original de l'équipe de recherche de Tarlogic a été corrigé pour supprimer la désignation de « porte dérobée ». Cependant, toute la couverture médiatique n'a pas été modifiée pour refléter ce changement. Espressif souhaite profiter de cette occasion pour clarifier cette question pour nos utilisateurs et partenaires. Les commandes sont là pour le debug et les tests. Elles font parties de l'implémentation Host Controller Interface sur le protocole Bluetooth." En résumé : il s'agit de commandes de debug, sans accès distant, pas d'impact sur la sécurité. Ces commandes ne sont pas présentes sur les gammes 32-C, 32-S et 32-H. En complément, Espressif publie une note complète les commandes Bluetooth : https://developer.espressif.com/blog/2025/03/esp32-bluetooth-clearing-the-air/

Bleepingcomputer.com a publié un article sur des commandes non documentées sur les microcontrôleurs ESP32 fabriqués par Espressif. Pour 2023, plus d'un milliard de puces contiennent ces commandes non officielles (estimation des chercheurs). Ces commandes pourraient permettre de faire un spoofing matériel et permettre des accès non autorisés. Ces commandes ont été dévoilées durant la conférence RootedCON à Madrid. 

Pour les chercheurs, les ESP32 contiennent donc des backdoors pour permettre d'accès aux WiFi et Bluetooth. Des millions d'IoT utilisent ces composants ESP32. Ils sont peu chers et très performants. Des fonctions non documentées ne signifient pas forcément une porte dérobée intentionnelle. Il arrive souvent que des constructeurs ne documentent pas des fonctions ou des commandes pour en éviter leur usage. Les chercheurs ont démontré les vulnérabilités en codant un pilote Bluetooth spécifique pour exploiter ces commandes qui contournent les sécurités. Il permet une attaque brute sur le réseau sans fil de l'ESP. 

Les chercheurs ont mis en évidence 32 commandes qu'ils qualifient de portes dérobées. Bleepingcomputer.com s'interroge, avec raison, sur l'existence de ces commandes :

- des commandes privées qui ne sont pas destinées à être utilisées par les développeurs

- une erreur d'implémentation : ces commandes ont été laissées par erreur. Il arrive que des fondeurs laissent des fonctions non officielles, plus simple que de refaire un design.

Il est difficile de savoir pourquoi ces commandes sont présentées. Espressif a réagi le 10 mars dernier.