Selon Android Authority , l'exploit publié montre une méthode relativement simple pour forcer les clés de chiffrement Bluetooth entre deux appareils. En cas de succès, un attaquant pourrait usurper l'identité de l'appareil et accéder à des données sensibles.
Des milliards d'appareils utilisent le protocole Bluetooth 4.2
Cet exploit semble fonctionner au moins partiellement sur tout appareil utilisant Bluetooth 4.2 ou version ultérieure. Des appareils compatibles Bluetooth 4.2 auraient été déployés fin 2014, ce qui signifie que l'attaque devrait théoriquement fonctionner sur la plupart des appareils Bluetooth modernes.
EURECOM a divisé les attaques en six types différents, tous regroupés sous l'acronyme « BLUFFS ». Dans son rapport, EURECOM a présenté un tableau des appareils qu'il a réussi à usurper grâce à ces attaques, ainsi que le niveau de réussite de chacun des six types.
Le Bluetooth Special Interest Group (SIG), l'organisme à but non lucratif qui supervise le développement de la norme, a pris acte des conclusions d'EURECOM. Dans un bulletin de sécurité, l'agence a recommandé aux fabricants intégrant la technologie Bluetooth dans leurs produits de suivre des protocoles de sécurité stricts afin d'empêcher cette attaque de se produire. Cependant, elle n'a pas précisé si les futures versions de la connexion corrigeraient la vulnérabilité découverte par EURECOM. La norme Bluetooth la plus récente est la version 5.4, publiée en février 2023.
Lien source
Comment (0)