Bluetooth : un bug donnerait accès à nos données

Un vulnérabilité dans le Bluetooth

Récemment découvert par le CERT, un bug pourrait donner accès à nos données personnelles. En effet, cette vulnérabilité se situe au niveau cryptographique dans beaucoup de firmwares Bluetooth et de pilotes de systèmes d’exploitation. Elle pourrait permettre à n’importe quel hacker de capter et déchiffrer toutes les data circulant entre des appareils connectés en Bluetooth. Et dans un rayon de 30 mètres.
Cette faille a un impact sur le Secure Simple Pairing ainsi que sur les Low Energy Secure Connections du Bluetooth. Néanmoins, que les utilisateurs d’OS se rassurent. En effet, Apple a déjà diffusé un correctif !

Android

Cette faille est causée par les implémentations Bluetooth réalisées par certains fournisseurs. Et ces derniers ne valident pas correctement les échanges de clés cryptographiques quand des périphériques Bluetooth s’associent. Ainsi, la vulnérabilité se cache dans cette implémentation d’échange des clés Bluetooth utilisant l’échange de clés ECDH afin de créer une connexion sécurisée sur un canal qui ne l’est pas.
Ainsi, un hacker pourrait placer une fausse clé publique pour récupérer la clé de session durant cet échange clé publique-privée. En étant quand même assez proche. Et il pourrait donc lancer une cyberattaque « man-in-the-middle » afin de capter et déchiffrer les données du terminal. De plus, il pourrait aussi créer et injecter des messages malveillants.
Intel a listé tous ses modules de puces / pour machines Bluetooth qui pourraient être concernés. De plus, Intel recommande fortement à ses consommateurs de se mettre à jour vers le dernier pilote. Et de demander à leurs fournisseurs si ces derniers ont publié un correctif / une mise à jour. Dell a également publié un nouveau pilote, ainsi que Lenovo (concernant la possible vulnérabilité d’Intel).
De leur coté, LG et Huawei ont répertorié des correctifs pour CVE-2018-5383 au sein de leurs mises à jour (prévues en juillet).
Néanmoins, on ne sait pas encore si Android, Google ou le noyau Linux sont susceptibles d’être vulnérables.

Partagez l'article

Partager sur facebook
Partager sur twitter
Partager sur linkedin
Partager sur email