Des failles Bluetooth touchent la quasi-totalité de nos appareils

Bluetooth


Des millions d’appareils Bluetooth sont en danger ! Des chercheurs en sécurité ont mis au jour des failles qui touchent le standard de communication sans fil depuis quasiment… dix ans.

Alerte au Bluetooth. Les chercheurs d’Eurecom ont mis au point six attaques visant le standard, depuis sa version 4.2 (qui remonte à 2014) jusqu’à la mouture 5.4 toute nouvelle. Autant dire que ce sont des centaines de millions d’appareils qui peuvent potentiellement faire l’objet de ces attaques.

Des trous dans la raquette du Bluetooth

Regroupée sous la bannière BLUFFS (pour « Bluetooth Forward and Future Secrecy Attacks and Defenses »), cette série d’attaques exploite quatre failles de sécurité, dont deux inédites (CVE-2023-24023) qui touchent la spécification Bluetooth. Ces attaques permettent de briser la confidentialité des sessions Bluetooth, compromettant ainsi les échanges de communication entre appareils.

AirPods 3 au meilleur prix Prix de base : 199 €

Voir plus d’offres

L’exécution de BLUFFS suppose que l’attaquant soit à portée de Bluetooth des deux cibles qui échangent des données. Le pirate se fait passer pour l’un d’entre eux afin de négocier une clé de session faible avec l’autre. Ces combinaisons permettent au hacker d’usurper l’identité de l’expéditeur pour tromper sa victime, et procéder à des attaques de l’homme du milieu (« man-in-the-middle attack », MITM) pour siphonner des données.

Les chercheurs ont testé BLUFFS sur plusieurs types d’appareils, des écouteurs sans fil aux smartphones, en passant par des ordinateurs et même des enceintes connectées. Tous ont succombé à au moins trois des six attaques.

Le groupe spécial d’intérêt (SIG) Bluetooth, qui supervise le développement du standard, a reçu le rapport d’Eurecom et avisera les constructeurs sur les solutions pour limiter les risques. Côté utilisateurs, il est toujours possible de désactiver le Bluetooth pour éviter les attaques, mais ce n’est pas spécialement pratique. On peut aussi éviter de partager des informations sensibles via Bluetooth en public.

Source :

BleepingComputer



Source link

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.