08/05
Des milliards d’appareils vulnérables face à des failles Bluetooth
Plusieurs failles mettant en danger nos appareils avec une connexion Bluetooth ont été détectées.
Des chercheurs en sécurité d’Eurecom ont créé six attaques visant la norme Bluetooth depuis sa version 4.2 jusqu’à la version 5.4 sortie début 2023. Pour mémoire, la spécification 4.2 existe depuis presque 10 ans.
Ces attaques regroupées sous le nom BLUFFS (Bluetooth Forward and Future Secrecy Attacks and Defenses) ont la capacité d’exploiter quatre failles de sécurité, dont deux jusqu’à maintenant inconnues. Les attaques Bluffs ont la compétence d’accéder à la clé de cryptage et donc de compromettre la confidentialité lors d’une connexion Bluetooth entre deux appareils.
L’exécution de l’attaque suppose que l’attaquant se trouve à portée Bluetooth des deux cibles qui échangent des données. Ou alors le pirate usurpe l’identité de l’une des deux cibles pour négocier une clé de session faible avec l’autre. Les chercheurs ont testé BLUFFS sur plusieurs types d’appareils, des écouteurs sans fil aux smartphones, en passant par des ordinateurs et même des enceintes connectées. Tous ont succombé à au moins trois des six attaques.
Bluetooth SIG (Special Interest Group), l’organisation à but non lucratif qui supervise le développement de la norme Bluetooth et est responsable des licences pour la technologie, a reçu le rapport d’Eurecom. L’organisation reviendra vers les constructeurs pour mettre en place des solutions pour limiter les risques. Côté prévention pour l’utilisateur, il est possible de désactiver la connexion Bluetooth et éviter de partager des informations en public.
Source : 01Net