Il est aujourd’hui quasiment impossible de trouver un appareil n’utilisant pas le Bluetooth. Malheureusement, cette technologie est actuellement victime d’une faille de sécurité appelée BLUFF qui a le potentiel de rendre vulnérables les appareils utilisant la norme sans fil.
Les failles de sécurité sont monnaie courante dans l’industrie de la technologie et peuvent toucher absolument tout le monde. Que ce soit chez Google avec les failles de sécurité de Google Chrome ou bien le service d’identification biométrique de Microsoft, Windows Hello lui aussi victime de problèmes de sécurité, aucune entreprise n’est malheureusement à l’abri.
Les constructeurs comme Apple sont également touchés. La firme de Cupertino a récemment corrigé trois failles de sécurité d’iOS 17, son système d’exploitation, et Intel pourrait bien se retrouver devant la justice à la suite des répercussions de la faille Downfall. Malheureusement, des technologies très répandues peuvent, elles aussi, être la proie de problèmes de sécurité. C’est notamment le cas de la technologie de connexion sans fil Bluetooth.
Selon des rapports partagés par la National Vulnerability Database (NVD), un organisme de sécurité national des États-Unis, le service Bluetooth pourrait être victime d’une attaque par des personnes tierces, ou man-in-the-middle (MITM).
Les clés de chiffrement sont visées par les BLUFFS
Des chercheurs de l’EURCOM ont, en effet, publié un rapport identifiant une attaque appelée BLUFFS visant le dispositif d’appariement Secure Connections et Secure Simple Pairing de la technologie Bluetooth.
Ils ajoutent qu’un MITM pouvait se faire passer pour un dispositif apparié en forçant des appareils à révéler leur procédure de chiffrement et en s’attaquant aux clés de cryptage trop courtes. Cela a pour effet de créer une vulnérabilité de la session de connexion des appareils connectés.
En revanche, le rapport précise que des clés de chiffrement à plus de sept chiffres ne devraient pas pouvoir être sujettes à ce genre de faille de sécurité. De plus, pour qu’une attaque d’un MITM soit possible, celui-ci doit être à portée des appareils visés, réduisant drastiquement son champ d’action.
Ces attaques BLUFFS peuvent compromettre la confidentialité des appareils Bluetooth sur le long terme. Elles permettent l’usurpation des dispositifs mais également la manipulation de session. Malheureusement, vu que ces attaques visent directement l’architecture de la technologie sans fil, tous les appareils disposant du Bluetooth sont concernés.
En revanche, grâce à une étude poussée de cette faille de sécurité, des chercheurs ont pu développer des correctifs et mettre en place des recommandations pour les intégrer dans les dispositifs utilisant la norme sans fil. Ces informations ont bien évidemment été partagées auprès du groupe d’intérêt Bluetooth et des constructeurs le composant.
Source : National Vulnerability Database