Google et Intel viennent de dévoiler une nouvelle faille Bluetooth, baptisée BleedingTooth, qui concerne le système d’exploitation Linux. Elle permet d’accéder à une machine à portée sans la moindre interaction sur l’appareil ciblé. Une mise à jour du noyau Linux est déjà disponible.
[EN VIDÉO] Qu'est-ce qu'une cyberattaque ? Avec le développement d'Internet et du cloud, les cyberattaques sont de plus en plus fréquentenull
Décidément, le Bluetooth est encore victime d'une nouvelle faillefaille. Cette fois, ce sont les appareils utilisant le système d'exploitationsystème d'exploitation Linux qui sont concernés. Le problème a été dévoilé sur TwitterTwitter par Andy Nguyen, ingénieur chez GoogleGoogle, qui l'a baptisé BleedingTooth. Son tweet ne communique pas de détails techniques, mais promet une publication à venir sur le blog officiel de Google.
Le chercheur a également partagé une vidéo qui montre l'exploitation de la faille pour lancer la calculatrice sans la moindre intervention sur l'appareil victime. La vulnérabilité se situe au niveau de BlueZ, la pile de protocoleprotocole Bluetooth utilisée dans LinuxLinux depuis la version 2.4.6 du noyau. Elle concerne donc les ordinateursordinateurs Linux, mais également de nombreux objets connectés. Les mobiles AndroidAndroid sont toutefois épargnés.
Une démonstration de la faille BleedingTooth, sans la moindre interaction sur l’appareil victime. © Andy Nguyen
Une mise à jour du noyau Linux est disponible
Intel a également publié un avis de sécurité sur cette faille, sous la référence CVE-2020-12351. La firme lui attribue une sévérité de 8,3 sur 10, et détaille trois éléments distincts qui permettent une élévation des privilèges, la divulgation d'informations et une attaque de type déni de servicedéni de service.
Intel conseille de mettre à jour le noyau Linux vers la version 5.10 qui n'est pas impactée. Pour ceux qui ne le peuvent pas, la firme a inclus une liste de liens vers des patchs dans sa publication. Si cette faille est sévère, le risque est à relativiser puisque l'attaquant doit se trouver à portée de l'appareil ciblé. Toutefois, les mises à jour sont rares sur les objets connectés, qui risquent de rester vulnérables jusqu'à leur remplacement.
Comparatifs et bons plans

Tech
Tech
Pendant les soldes, ExpressVPN offre 3 mois gratuits pour son abonnement d’un an

Tech
Tech
Découvrez Eono C1, le chargeur rapide à induction pour smartphone

Maison
Maison
Pourquoi opter pour un aspirateur sans sac Amazon Basics ?

Tech
souris Bluetooth
Les souris Bluetooth en test - voir ici !

Tech
casque bluetooth
casques bluetooth - nos gagnants 2022

Tech
autoradio Bluetooth
Le lauréat de notre comparatif des autoradios Bluetooth

Tech
forfaits sans engagement
Les meilleurs forfaits mobiles sans engagement