Habituellement, les recherches sur le Bluetooth portent sur la phase d’association entre deux appareils. Mais une équipe de Purdue a découvert que ce mode de communication pouvait être attaqué à chaque reconnexion entre deux appareils. De quoi offrir des dizaines d’opportunités d’attaque par jour contre des milliards d’appareils.

Des milliards d’appareils sont concernés par une nouvelle vulnérabilité découverte par l’Université de Purdue, dont les recherches ont été repérées par ZDNet. Baptisé BLESA, la faille se situe dans le protocole Bluetooth à basse consommation (ou BLE en anglais), intégré à la quasi-totalité des smartphones et autres appareils connectés. L’attaque permet de trafiquer les informations envoyées à un appareil, en contournant la phase d’authentification supposée garantir leur authenticité.

Seul le Bluetooth des appareils sous Windows semble épargné : les appareils sous Android, iOS et Linux sont concernés. Le protocole BLE est utilisé pour le fonctionnement de nombreux appareils grand public, mais aussi sur des chaînes de production.

L’équipe de chercheur de Purdue s’est penchée sur le processus de reconnexion, qui intervient après l’association de deux appareils entre eux, pour laquelle il y a pu avoir une authentification. Une fois que les deux appareils passent hors de portée l’un de l’autre — quelques dizaines de mètres suffisent –, la connexion s’interrompt. Quand ils reviennent à portée, le processus de reconnexion s’enclenche : en théorie, les deux appareils vont vérifier les clés cryptographiques sur lesquelles ils se sont accordés pendant la phase d’association, puis ils vont recommencer à échanger des informations.

Sauf que d’après les scientifiques, le protocole BLE ne décrit pas suffisamment cette phase, c’est-à-dire que le langage utilisé ne contraint pas correctement les appareils. En conséquence, la phase d’authentification entre les deux appareils est optionnelle, et non obligatoire lors de la reconnexion. Pire, lorsqu’il y a bien une authentification demandée par un des deux appareils, elle peut être ignorée dans certains cas par l’autre appareil, car le premier n’arrivera pas à imposer ses exigences au second.

Les chercheurs s’engouffrent dans ces deux défauts de fonctionnement pour envoyer des données trafiquées depuis un appareil Bluetooth vers un appareil cible. Ils modifient la conversation pour donner des informations erronées aux humains qui utilisent l’appareil ou pour détourner les processus automatisés qui se nourrissent de ces informations.

Comme d’habitude, les failles du Bluetooth sont difficiles, parfois impossibles, à corriger. Apple a par exemple déjà déployé un patch pour résoudre le problème, les développeurs d’autres systèmes d’exploitation ont déjà des pistes pour réparer le problème. Sauf que certains équipements Bluetooth n’offrent même pas la possibilité d’être mis à jour, et que le parc d’appareil à modifier peut être trop important à réparer sans moyen de déploiement conséquent. Ensuite, il faut que les producteurs d’appareils Bluetooth reçoivent le patch et avertissent tous leurs clients. Et puisque les chercheurs évoquent des milliards d’appareils affectés, il sera pratiquement impossible de réparer la vulnérabilité BLESA sur tous les appareils concernés.

Comme le souligne ZDNet, les attaques Bluetooth s’en prennent généralement à l’association entre les deux appareils. Il suffit de contrôler cette étape pour éviter tout piratage. Sauf que dans le cas de BLESA, il faut protéger toutes les reconnexions, une étape qui peut se produire plusieurs fois par jour…

ExpressVPN, annonceur exclusif de Cyberguerre, est un fournisseur de VPN premium. Il dispose de milliers de serveurs sécurisés répartis à travers le monde, permettant de délocaliser son adresse IP et de contourner les géoblocages. ExpressVPN ne conserve aucune trace de l’activité des utilisateurs. Son application de VPN, disponible sur ordinateur, mobile et routeur, est l’une des plus avancées du marché.

Voici « BLURtooth », la nouvelle attaque qui permet de contourner les protections du Bluetooth

Un groupe de hackers a utilisé pas moins de cinq failles zero days contre la Corée du Nord

En cours (3 min) : Des chercheurs découvrent une vulnérabilité Bluetooth qui touche des milliards d’appareils

Si nous utilisons des cookies et retenons des données anonymisées, c’est pour nous aider à mieux faire notre travail de mesure d’audience, aider nos partenaires commerciaux à nous rémunérer et nos partenaires publicitaires à proposer des annonces qui vous correspondent. Bref, rien qui ne sort de notre activité de média.

Vous pouvez toutefois ajuster les paramètres vous concernant : vous ne verrez pas moins de pub sur Numerama, mais elles seront moins ciblées. En cliquant sur « J’accepte », vous acceptez l’utilisation par Numerama de cookies publicitaires et de mesure d’audience fine.

Afin de vous proposer du contenu de qualité, nos outils de mesure d’audience et notre régie publicitaire déposent des cookies et stockent ou accèdent à des données sur votre appareil. Ces données nous permettent de vous proposer un contenu et des publicités personnalisés. Ces services requièrent votre consentement pour collecter et utiliser vos données personnelles.

Source: https://cyberguerre.numerama.com/7626-des-chercheurs-decouvrent-une-vulnerabilite-bluetooth-qui-touche-des-milliards-dappareils.html

Bluetooth, Computer, Vulnerability, Fault

World news – FR – Des chercheurs découvrent une vulnérabilité Bluetooth qui touche des milliards d’appareils – Cyberguerre

En s’appuyant sur ses expertises dans les domaines du digital, des technologies et des process , CSS Engineering vous accompagne dans vos chantiers de transformation les plus ambitieux et vous aide à faire émerger de nouvelles idées, de nouvelles offres, de nouveaux modes de collaboration, de nouvelles manières de produire et de vendre.

CSS Engineering s’implique dans les projets de chaque client comme si c’était les siens. Nous croyons qu’une société de conseil devrait être plus que d’un conseiller. Nous nous mettons à la place de nos clients, pour aligner nos incitations à leurs objectifs, et collaborer pour débloquer le plein potentiel de leur entreprise. Cela établit des relations profondes et agréables.

Nos services:

  1. Création des sites web professionnels
  2. Hébergement web haute performance et illimité
  3. Vente et installation des caméras de vidéo surveillance
  4. Vente et installation des système de sécurité et d’alarme
  5. E-Marketing

Toutes nos réalisations ici https://www.css-engineering.com/en/works/

LEAVE A REPLY

Please enter your comment!
Please enter your name here