Le Bluetooth est une technologie présente partout. Nous l'utilisons dans les téléphones portables, les écouteurs, les ordinateurs… Aussi dans de nombreux IdO dispositifs. Il permet d'établir une connexion sans fil, de partager des fichiers, de synchroniser des données… Cependant, des pannes peuvent parfois survenir et des informations peuvent être exposées. Dans cet article, nous faisons écho à une vulnérabilité qui affecte Bluetooth et met en danger les voitures, les serrures et bien d'autres appareils.
Un bug sérieux affecte le Bluetooth
Cette vulnérabilité affecte spécifiquement Bluetooth Low Energy (BLE) et a été découvert par des chercheurs en sécurité du groupe NCC. Ce protocole est largement utilisé pour effectuer des authentifications de proximité. Par exemple pour ouvrir une porte. Les chercheurs indiquent qu'il ne s'agit pas d'une vulnérabilité classique, puisqu'il s'agit d'un problème qui apparaît en raison de l'utilisation du BLE à des fins pour lesquelles il n'a pas été créé.
Ce bogue affecte la façon dont de nombreux produits implémentent authentification de proximité qui est basé sur Bluetooth Low Energy. L'appareil se déverrouille ou reste déverrouillé lorsqu'un autre appareil BLE se trouve à proximité. Ils ont créé un outil capable d'exploiter le fonctionnement de cette technologie. Ils garantissent qu'il est capable de contourner les mesures défensives telles que le chiffrement ou la limite de latence. Tout cela en 10 secondes.
Alors, que signifie vraiment cette vulnérabilité ? Il permet d'attaquer certains appareils qui utilisent Bluetooth Low Energy pour s'authentifier. Par example véhicules comme Tesla ou serrures intelligentes . Cependant, pour mener à bien ces attaques, il est nécessaire de disposer du matériel et des logiciels appropriés, c'est ce que ces chercheurs en sécurité ont créé pour effectuer le test.
Mais ce problème n'affecte pas seulement les voitures et les serrures ; de nombreux autres appareils tels que les ordinateurs portables, les téléphones portables, les systèmes d'accès et les dispositifs de suivi peuvent également être compromis.
Gardez à l'esprit que ce problème de sécurité n'affecte que les systèmes basés sur la détection passive d'un périphérique Bluetooth. Par conséquent, il ne pourrait pas être exploité lorsque le déverrouillage dépend d'une combinaison de protocoles de communication.
La résolution du problème dépend des fabricants
Ce problème avec Bluetooth n'est pas le même que beaucoup d'autres que nous avons vus à d'autres occasions. Il n'est pas corrigé en mettant simplement à jour le micrologiciel et en ajoutant un correctif. Cette erreur va dépendent des fabricants , ce sont donc eux qui doivent prendre certaines mesures pour y remédier.
Sécurité les chercheurs indiquent qu'une solution possible est pour désactiver la fonction de proximité lorsque le téléphone ou le porte-clés est resté immobile pendant un certain temps. Pour cela, ils peuvent utiliser l'accéléromètre.
En outre, les fabricants doivent permettre à l'utilisateur d'utiliser un seconde passe pour s'authentifier . Par exemple, il pourrait s'agir d'appuyer sur un bouton. Cela donnerait plus de garanties pour éviter les attaques.
Une autre option pour les utilisateurs consiste à désactiver la fonctionnalité de déverrouillage passif qui ne nécessite pas d'approbation explicite ou simplement à désactiver Bluetooth lorsqu'il n'est pas utilisé.
En bref, cette faille de sécurité peut mettre en danger de nombreux appareils utilisant la technologie Bluetooth. Les voitures, les sertisseuses et autres dispositifs d'authentification pourraient être compromis.
