Des chercheurs en sécurité ont découvert des vulnérabilités dans le standard Bluetooth. Elles peuvent permettent à un attaquant d'usurper l'identité d'autres appareils pour se connecter. Ordinateurs, mobiles, accessoires connectés, aucun appareil n’est épargné.
Après la grosse faille Bluetooth qui impactait les mobiles AndroidAndroid en février dernier, voici une nouvelle vulnérabilité qui touche à nouveau le module de connexion sans-fil. Cette fois, le soucisouci concerne tous les appareils, qu'il s'agisse de mobiles, d'ordinateursordinateurs ou d'accessoires connectés. Des chercheurs de l'École Polytechnique Fédérale de Lausanne (EPFL) ont en effet découvert qu'une composante du standard BluetoothBluetooth souffre d'une vulnérabilité qui peut permettre à un attaquant d'usurper l'identité d'un appareil qui a déjà été jumelé.
Lorsque deux appareils Bluetooth sont couplés pour la première fois, ils échangent une clé de chiffrementchiffrement à long terme. Elle est stockée de façon à accélérer et sécuriser la connexion. Lorsque l'attaquant se connecte, il va imiter l'adresse Bluetooth de l'accessoire déjà jumelé. Tout au début du processus d'association, pour éviter de fournir la clé de chiffrement, il peut alors inverser les rôles et se faire passer pour l'appareil maître, ce qui lui permet d'assurer la liaison sans authentification.
Aucune parade n’existe
Le pirate peut ainsi se faire passer pour un casque audio, ou une montre connectée, par exemple. Une fois connecté, il peut récupérer les données qu'il souhaite. Les chercheurs ont nommé la technique BIAS, pour Bluetooth Impersonation Attacks. Qu'il s'agisse de puces, Qualcomm, Apple, Intel, Cypress, SamsungSamsung ou CSR, ils ont pu tester avec succès cette attaque sur une trentaine d'appareils. Le bugbug provenant du firmware du module Bluetooth, l'organisme de standardisation de cette norme s'attelle à le corriger dans les prochaines versions du Bluetooth.
Les fabricants des puces sont également incités à réaliser une mise à jour de leur firmware. Il reste difficile de savoir s'ils vont tous l'appliquer et quand. En attendant, mis à part désactiver le module Bluetooth, il n'y a aucun moyen de passer au travers de cette faille. Bien entendu, une telle attaque reste concrètement peu probable, à moins qu'elle soit précisément ciblée, puisqu'il faut se trouver à proximité de la victime.
Comparatifs et bons plans

Tech
Opérateur de téléphonie mobile
Bouygues, Free ou YouPrice : quel forfait mobile choisir pour ce mois de février ?

Maison
Maison
Balance de cuisine numérique Amazon Basics : quelles sont ses caractéristiques ?

Tech
Tech
Comment choisir le meilleur système d’alimentation sans coupure ?

Tech
casque bluetooth
Les casques bluetooth - notre comparatif 2022

Tech
ordinateur de bureau
Les ordinateurs de bureau - comparez-les facilement

Tech
smartphone
smartphones - nos gagnants

Tech
orange
Profitez des meilleurs forfaits mobiles Orange