La dent bleue a une carie : smartphones, notebooks et cie sont vulnérables via la connexion Bluetooth
Presque tous les appareils Bluetooth sont vulnérables. Des failles de sécurité permettent aux pirates potentiels de se faire passer pour l'un des appareils lors d'une connexion et d'y accéder. Tous les appareils sont touchés : de l'iPhone au Raspberry Pi en passant par les lampes, les routeurs et les réfrigérateurs.
À l'origine, les mécanismes d'authentification basés sur une clé de couplage à long terme sont censés garantir que les appareils dotés de la norme Bluetooth sont protégés contre les attaques comme l'usurpation d'identité. Mais ce n'est pas le cas – le mécanisme de sécurité est défectueux.
Trois chercheurs en sécurité de l'ETH Lausanne, de l'Université d'Oxford et du Centre for Information Security (CISPA) Helmholtz ont découvert des failles de sécurité dans Bluetooth et ont déjà attaqué avec succès 30 appareils avec 28 puces différentes. Les points faibles ont déjà été signalés à la Bluetooth Special Interest Group (SIG) en décembre dernier. Cette dernière a ensuite adapté la spécification de base du Bluetooth en conséquence.
Comme le montre la documentation des chercheurs en sécurité, tous les protocoles Bluetooth sont concernés. Le problème est dû au fait que lors du couplage, seul le maître Bluetooth vérifie l'exactitude de la clé de sécurité échangée. Il manque l'authentification mutuelle. Les chercheurs en sécurité appellent l'attaque réussie Bluetooth Impersonation AttackS ou BIAS pour faire court. Comme l'expliquent également les chercheurs dans une courte vidéo, le BIAS permet à l'attaquant de se faire passer pour n'importe quel dispositif maître ou esclave.
Il n'est pas clair si les failles de sécurité sont ou ont été activement exploitées. Si vous souhaitez vous protéger contre de telles attaques, gardez à l'esprit que la portée du Bluetooth est d'environ dix mètres. On ne sait pas encore si et quand les fabricants fourniront des micrologiciels pour combler les lacunes ou s'ils l'ont déjà fait. Les appareils qui n'ont pas reçu de mise à jour depuis décembre 2019 sont probablement vulnérables. Pour tous les autres, la situation est ambiguë en raison du manque d'information des fabricants.
Le baiser quotidien de la muse stimule ma créativité. Si elle m’oublie, j’essaie de retrouver ma créativité en rêvant pour faire en sorte que mes rêves dévorent ma vie afin que la vie ne dévore mes rêves.