BlueBorne : faille Bluetooth particulièrement inquiétante pour des milliards d'appareils

Prenez un protocole largement utilisé dans le monde, le Bluetooth par exemple. Trouvez-lui quelques bonnes failles de sécurité autorisant pêle-mêle l’exécution de code à distance ou une attaque de type « man-in-the-middle », et vous obtenez plusieurs milliards d’appareils vulnérables : voici BlueBorne, un hack particulièrement inquiétant permettant de prendre le contrôle à distance des appareils Bluetooth, sans même que l’utilisateur ne s’en rende compte puisque le hack fonctionne même si l’appareil n’est pas synchronisé ou même visible.

Exécution de code à distance

La société Armis à l’origine de cette découverte a publié un livre blanc détaillant les failles en question et les attaques possibles, ainsi qu’une application Android permettant de vérifier si son appareil est vulnérable et s’il existe d’autres appareils Bluetooth à proximité qui le sont également.

En pratique, ces huit failles – dont trois autorisent l’exécution de code à distance – se situent au niveau du protocole BNEP (Bluetooth Network Encapsulation Protocol). Si la portée du Bluetooth limite la distance à laquelle l’attaque est possible, tous les systèmes d’exploitation courants sont vulnérables : iOS (sur les versions antérieures à iOS 10), Android, Linux ou encore les OS de Microsoft. Ce dernier a toutefois corrigé ces vulnérabilités dans ses patchs de juillet dernier.

Le gros problème : les objets connectés

C’est sur Android et Linux que le problème se pose réellement : si Google a d’ores et déjà déployé un patch sur ses smartphones Pixel, rien ne dit que tous les autres fabricants feront de même avec tous leurs produits, surtout les plus anciens. Le problème est encore plus important pour les objets connectés dont une grande partie ne sera jamais mise à jour…

Posez une question dans la catégorie Les news : vos réactions du forum
Soyez le premier à commenter
    Votre commentaire