Alerte au Bluetooth. Les chercheurs d’Eurecom ont mis au point six attaques visant le standard, depuis sa version 4.2 (qui remonte à 2014) jusqu’à la mouture 5.4 toute nouvelle. Autant dire que ce sont des centaines de millions d’appareils qui peuvent potentiellement faire l’objet de ces attaques.
Des trous dans la raquette du Bluetooth
Regroupée sous la bannière BLUFFS (pour « Bluetooth Forward and Future Secrecy Attacks and Defenses »), cette série d’attaques exploite quatre failles de sécurité, dont deux inédites (CVE-2023-24023) qui touchent la spécification Bluetooth. Ces attaques permettent de briser la confidentialité des sessions Bluetooth, compromettant ainsi les échanges de communication entre appareils.
Amazon
Cdiscount
FNAC
Darty
BoulangerL’exécution de BLUFFS suppose que l’attaquant soit à portée de Bluetooth des deux cibles qui échangent des données. Le pirate se fait passer pour l’un d’entre eux afin de négocier une clé de session faible avec l’autre. Ces combinaisons permettent au hacker d’usurper l’identité de l’expéditeur pour tromper sa victime, et procéder à des attaques de l’homme du milieu (« man-in-the-middle attack », MITM) pour siphonner des données.
Les chercheurs ont testé BLUFFS sur plusieurs types d’appareils, des écouteurs sans fil aux smartphones, en passant par des ordinateurs et même des enceintes connectées. Tous ont succombé à au moins trois des six attaques.
Le groupe spécial d’intérêt (SIG) Bluetooth, qui supervise le développement du standard, a reçu le rapport d’Eurecom et avisera les constructeurs sur les solutions pour limiter les risques. Côté utilisateurs, il est toujours possible de désactiver le Bluetooth pour éviter les attaques, mais ce n’est pas spécialement pratique. On peut aussi éviter de partager des informations sensibles via Bluetooth en public.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source : BleepingComputer
