Bluetooth : ces deux nouvelles attaques imparables mettent des milliards d’appareils en danger

Un chercheur d’Eurecom a publié un papier dans lequel il dévoile deux nouvelles « vulnérabilités dans l’établissement de session Bluetooth permettant la réutilisation d’une clé de session faible d’une session à l’autre ».

Bluetooth
Crédits : Unsplash

Le Bluetooth est une technologie discrète, mais omniprésente. En effet, que l’on parle du Bluetooth « classique » du Bluetooth basse consommation ou même du BLE Audio, les PC, les smartwatches, les capteurs, automobiles, ou bien sûr, les smartphones, absolument tous nos appareils dépendent de cette norme établie en 1994. La moindre faille dans ses spécifications pourrait compromettre la sécurité de milliards d’appareils.

Les chercheurs d’Eurecom ont mis au jour deux nouvelles failles qui, exploitées avec quatre autres faiblesses connues, forment une suite d’attaques sur le Bluetooth baptisée BLUFFS. Celle-ci est identifiée comme CVE-2023-24023 dans la base de données des vulnérabilités NST. Elle affecte les « appareils Bluetooth […] et permet certaines attaques man-in-the-middle ». Pour exécuter le BLUFFS, le « hacker doit se trouver à portée Bluetooth de deux cibles qui échangent des données, et doit se faire passer pour l’une d’entre elles afin de négocier une clé de session faible avec l’autre ».

Ces chercheurs dévoilent deux failles du Bluetooth impossibles à contrer pour le moment

Après avoir forcé la création d’une clé de session courte et plus prévisible, le pirate peut ensuite dériver le véritable identifiant de session avec une technique du « brute force », consistant à tester toutes les combinaisons possibles. Une fois cela fait, il peut accéder aux « transmissions passées et futures d’un appareil ». On n’ose donc imaginer les effets dévastateurs du BLUFFS s’il était mis entre les mains des cybercriminels qui écument le Dark Web.

À lire — Attention, le Bluetooth de votre smartphone permet de vous suivre à la trace

Cela dit, la nature même du Bluetooth fait que ce genre d’attaques ne permet de cibler que deux appareils à proximité l’un de l’autre. Pour contrer ce type d’attaques, les chercheurs préconisent des modifications au niveau du protocole Bluetooth même, en proposant une nouvelle fonction de dérivation de clé et en mettant à jour le LMP, le protocole servant à initier et contrôler la liaison entre des terminaux Bluetooth, par exemple.

Source : ADM


La rédaction vous conseille aussi...

Réagissez à cet article !

Demandez nos derniers articles !

Test RedMagic 11 Air : une puissance démesurée… et c’est tout ?

Après le RedMagic 11 Pro, ZTE dévoile le RedMagic 11 Air. Doté d’une plate-forme très performante et de quasiment tous les atours attendus dans un smartphone gaming, il est proposé…

Ce nouveau mode de WhatsApp permet de chatter avec l’IA sans que Meta ne voie quoi que ce soit

Discuter avec une IA sans laisser de trace, c’est désormais possible sur WhatsApp. La messagerie lance un mode incognito pour Meta AI, bâti sur une technologie qui chiffre tout avant…

On y est, l’IA commence à nous suggérer des actions sans qu’on ne lui demande rien sur Android

Google a commencé à déployer ses suggestions contextuelles basées sur l’IA sur Android, qui prennent en compte le contexte et ce qui est affiché à l’écran pour proposer des actions…

Voici comment les salariés d’Amazon trichent sur leurs stats IA pour échapper aux objectifs imposés par la direction

Amazon veut que ses développeurs utilisent l’IA chaque semaine, et le surveille de près. Certains salariés ont trouvé une parade inattendue pour gonfler leurs statistiques sans vraiment travailler autrement. Cette…

IA

Passer d’un iPhone à un smartphone Android n’a jamais été aussi simple

Le transfert de données entre iOS et Android s’améliore encore, permettant de faciliter la transition d’un iPhone vers un smartphone Android. Google n’a pas chômé pour son Android Show et…

Voici la liste des smartphones Android qui vont devenir compatibles avec AirDrop

De nouveaux modèles de smartphones Android vont prendre en charge l’interopérabilité entre Quick Share et AirDrop, voici la liste complète. Lors de son Android Show, Google a annoncé qu’un plus…

Ces particules venues de l’espace frappent la Terre avec une puissance qui défie toute explication depuis 60 ans

Des particules venues du cosmos frappent la Terre avec une puissance qui défie toute explication. Ce phénomène intrigue les physiciens depuis plus de soixante ans. Une nouvelle étude propose enfin…

Netflix va ajouter encore plus de publicités sur son application mobile

Netflix n’en a pas fini avec les décisions qui agacent les utilisateurs. Après une refonte de son application mobile plutôt décriée, voici que le service de streaming annonce qu’on y…

La Switch 2 a droit à un nouveau bundle “à la carte” avant la hausse de prix

Histoire de booster les ventes avant l’augmentation de tarif prévu pour le monde entier, la Switch 2 s’offre un pack avec jeu au choix. Alléchant, mais qui y a droit…

Ces techniciens qui saccagent votre fibre optique ont enfin été rappelés à l’ordre

La fibre optique tombe en panne à cause de techniciens qui ne font pas leur travail correctement. Un ultimatum lancé aux grands opérateurs a finalement obtenu des résultats. Le problème…

Retrouvez sur Phonandroid toute l’actualité autour de l’OS mobile de Google. Le site est une véritable mine d’or autour des produits Android et bien plus ! Vous cherchez un téléphone ou souhaitez maîtriser parfaitement le votre ? Nos articles, dossiers et tutoriels sont là pour vous informer et vous guider. Votre smartphone n’aura plus aucun secret pour vous. Nous vous ferons découvrir les meilleures applications android sur le Google Play. Si les tablettes vous intéressent, vous pourrez suivre l’actualité des différentes marques. Elles sont nombreuses et s’y retrouver est compliqué. Phonandroid et son forum sont là pour vous informer et vous guider.