Bluetooth : une nouvelle faille de sécurité met en danger des millions de smartphones Android et iPhone

Des hackers peuvent pirater des millions de smartphones Android et iPhones grâce à une nouvelle faille de sécurité autour du bluetooth. Celle-ci permet à des hackers de lancer des attaques man-in-the-middle pour récupérer les clés cryptographiques sécurisant l'appairage des appareils. Les drivers des modules bluetooth de nombreux constructeurs majeurs dont Apple, Broadcom, Intel et Qualcomm sont touchés. 

bluetooth

Des chercheurs de l'Institut de technologie d'Israël ont découvert une nouvelle faille de sécurité majeure autour du bluetooth. Celle-ci donne littéralement les clés aux hackers pour se connecter à n'importe quel appareil à proximité, du moment où le hacker est parvenu à intercepter l'appairage d'un appareil. Les chercheurs expliquent que cette vulnérabilité est liée à une mauvaise implémentation du Secure Connections Pairing et du Secure Simple Pairing dans les drivers liés au Bluetooth LE et BR/EDR.

Piratage par bluetooth : des millions de smartphones Android et iPhones sont à la merci des hackers

Certains constructeur qui supportent les deux protocoles ne valident pas suffisamment les clés cryptographiques qui sécurisent la connexion. Le résultat, c'est qu'un hacker peut alors les intercepter pour s'appairer à la machine de la victime sans que ce dernier ne s'en rende compte. De là, il peut faire de nombreuses choses : keylogging, interceptions de traffic, injection de code malicieux… Les chercheurs expliquent :

“Pour qu'une telle attaque fonctionne, il faut que l'appareil de l'attaquant se trouve à portée de deux appareils bluetooth vulnérables en cours d'appairage. L'appareil de l'attaquant devra alors intercepter l'échange de Cees publiques en bloquant chaque transmission, et en envoyant un accusé de réception, puis en injectant un paquet malicieux dans les échanges avec l'appareil cible, le tout dans une très petite fenêtre de temps. Si un seul appareil est touché par la vulnérabilité, l'attaque ne fonctionnera pas”.

Dans le détail, l'échange de clés cryptographique repose sur le principe des courbes elliptiques de Diffie-Hellman. Le problème, c'est que ce protocole repose sur une étape sans chiffrement (qui est ici mal implémentée). De nombreux fabricants majeurs de puces sont touchés, dont Apple, Broadcom, Intel et Qualcomm qui représentent la plus grosse partie du marché. Il n'est pas possible de faire quoi que ce soit soi-même pour limiter les risques, sauf désactiver tout simplement le bluetooth et/ou éviter d'appairer ses appareils dans des lieux publics. Néanmoins les constructeurs concernés n'auront aucune difficulté à colmater cette faille CVE-2018-5383 via une mise à jour de sécurité.


La rédaction vous conseille aussi...

Réagissez à cet article !

Demandez nos derniers articles !

Google améliore enfin le Fitbit Air, les choses vont changer

Le bracelet connecté de Google, le Fitbit Air, s’améliore. La firme de Mountain View est en effet en train de déployer un important correctif, qui devrait largement améliorer l’expérience des…

Démarchage téléphonique : le Conseil constitutionnel censure la loi, voici ce qui va changer

Véritable fléau des temps modernes, le démarchage téléphonique pourrait bientôt revenir en masse. Suite à une action en justice d’Orange, le Conseil constitutionnel a en effet censuré plusieurs dispositions d’une…

Test Fiido T2 : Le vélo pour toute la famille sans se ruiner

Le constructeur Fiido ne pouvait passer à côté du segment des longtails, des vélos à assistance électrique pensés pour transporter confortablement et en toute sécurité les enfants. Voici le nouveau…

C’est la fin pour Aibo : Sony enterre son chien-robot emblématique

Le chien-robot ERS-1000 Aibo de Sony, c’est bientôt terminé. Le fabricant a en effet annoncé son intention de cesser de vendre l’adorable compagnon robotique dans son pays d’origine, le Japon….

PS6 portable : Sony lâche un énorme indice, elle pourrait débarquer plus tôt que prévu

Après la PS5 Pro, une PlayStation 6 portable pourrait bien devenir réalité. C’est en tout cas ce que semble suggérer le patron de Sony Interactive Entertainment, Hideaki Nishino, au cours…

La crise de la RAM menace l’iPhone 18, Apple pourrait sacrifier une partie d’iOS 27

La crise de la RAM pourrait faire une victime de plus. À cause de celle-ci, l’iPhone 18 d’Apple pourrait ainsi être privé de certaines fonctionnalités offertes par iOS 27. L’actuelle…

GTA 6 sur Switch 2 ? Rockstar prépare une énorme surprise, vous n’êtes pas prêts

Initialement disponible sur PS5 et Xbox Series X/S, le futur banger de Rockstar pourrait bien débarquer sur la console portable de Nintendo. Un leaker affirme en effet que GTA 6…

Appels indésirables incessants : cette solution efficace est proposée par NordVPN !

Tout le monde connaît NordVPN, le service VPN le plus avancé et le plus complet du marché. Mais cette solution pour sécuriser votre vie en ligne vient de dévoiler un…

Combien d’emplois ont été perdus à cause de l’IA ? Cet outil nous donne la réponse

Face aux inquiétudes concernant les conséquences de l’IA sur le marché du travail, la Californie a mis en ligne un outil de suivi des pertes d’emploi directement liées à cette…

The Frame 4K QLED (2026) de 55 pouces : à peine sortie, Samsung brade déjà son excellente TV pour les Soldes !

Les Soldes ont commencé sur Samsung et cette année encore, le géant coréen ne fait pas les choses à moitié. Sortie récemment, la nouvelle The Frame 4K QLED de 55…