Passer au contenu

BLURtooth : Cette faille de sécurité du Bluetooth n’a pas de solution

Une faille de sécurité répondant au nom de BLURtooth vient d’être repérée par des chercheurs indépendants. La Bluetooth SIG a alerté les constructeurs utilisant la norme sans fil dans l’espoir de déployer un correctif à l’avenir.

Crédits : Obi Onyeador via Unsplash

La Bluetooth Special Interest Group – ou SIG – vient d’alerter les constructeurs d’une importante faille de sécurité du Bluetooth, permettant à un tiers de se connecter à n’importe quel appareil et d’y lancer différents programmes, parfois malveillants, à distance. Ce sont les chercheurs de l’École Polytechnique fédérale de Lausanne et de l’université de Purdue qui ont fait la découverte de cette faille, baptisée « BLURtooth ». L’université de Carnegie Mellon publie de nombreux détails sur cette faille dans un récent bulletin de sécurité.

La faille en question repose sur la Cross-Transport Key Derivation (CTKD), qui n’est autre qu’une clé d’autorisation qui vient authentifier la connexion entre appareils par Bluetooth. Par exemple, dans le cas d’un iPhone se préparant à s’associer avec un appareil Bluetooth, le rôle de CTKD est de configurer deux clés d’authentification distinctes : une baptisée « Bluetooth Low Energy » et une autre connue sous le nom « Basic Rate / Enhanced Data Rate ». Ces clés varient en fonction de la quantité de données à transférer via Bluetooth, mais aussi en fonction de l’autonomie restante.La faille BLURtooth permet de modifier ce CTKD et ainsi de se connecter au Bluetooth d’un autre appareil en toute discrétion. Concrètement, il faut un ordinateur à proximité d’un appareil pour s’y connecter. Le « hacker » peut par la suite prendre le contrôle d’un appareil Bluetooth comme une enceinte sans fil – sans jamais avoir été autorisé à s’y connecter – mais aussi, et surtout, à un smartphone et ainsi d’accéder à certaines données.

Maintenant que les constructeurs sont prévenus, on peut s’attendre à une mise à jour de sécurité prochainement pour corriger cette faille, du moins sur les appareils supportant le Bluetooth 5.1. Comme le précise la Bluetooth SIG, les appareils Bluetooth 4.0 ou même 5.0 sont pour l’heure bloqués avec cette faille de sécurité, sans qu’il n’existe de solution concrète pour se protéger.

[amazon box=”B016NUTG5K”]

🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.

Mode