La vulnérabilité Bluetooth met en danger des milliards d'appareils

Selon Android Authority , l'exploit publié montre une méthode relativement simple pour forcer les clés de chiffrement Bluetooth entre deux appareils. En cas de succès, un attaquant pourrait usurper l'identité de l'appareil et accéder à des données sensibles.

Cet exploit semble fonctionner au moins partiellement sur tout appareil utilisant Bluetooth 4.2 ou version ultérieure. Les appareils Bluetooth 4.2 auraient été déployés fin 2014, ce qui signifie que l'attaque devrait théoriquement fonctionner sur la plupart des appareils Bluetooth modernes.

EURECOM a classé les attaques en six types différents, regroupés sous l'acronyme « BLUFFS ». Dans son rapport, EURECOM a présenté un tableau des appareils qu'il a réussi à usurper grâce à ces attaques, ainsi que le taux de réussite de chacun des six types.

Le Bluetooth Special Interest Group (SIG), l'organisme à but non lucratif qui supervise le développement de la norme, a pris acte des conclusions d'EURECOM. Dans un bulletin de sécurité, l'agence a recommandé aux fabricants intégrant la technologie Bluetooth dans leurs produits de suivre des protocoles de sécurité stricts afin d'empêcher cette attaque de se produire. Cependant, elle n'a pas précisé si les futures versions de la connexion corrigeraient la vulnérabilité découverte par EURECOM. La norme Bluetooth la plus récente, la version 5.4, a été publiée en février 2023.