BLESA : une vulnérabilité Bluetooth qui touche des milliards d’appareils
Le Bluetooth est très pratique au quotidien. Se passer de câble est un luxe auquel on prend très rapidement goût. Cela étant dit, c'est aussi une porte d'entrée supplémentaire pour d'éventuels hackers.
L’une des fonctionnalités offertes par le Bluetooth est que, lorsque vous revenez à portée d’un appareil avec lequel vous vous êtes déjà appairé auparavant, la reconnexion se fait de manière automatique et quasiment immédiate. Ceci est particulièrement pratique avec des casques, écouteurs ou autres enceintes sans fil, ou lorsque vous tentez de vous connecter à votre système d’infodivertissement dans la voiture. Mais malheureusement, ce processus est victime d’une faille qui expose aujourd’hui des milliards d’appareils.
Une nouvelle faille critique découverte dans les protocoles Bluetooth
La faille en question a été découverte par les chercheurs de la Purdue University, elle a été baptisée BLESA (pour “Bluetooth Low Energy Spoofing Attack”). Il semblerait qu’elle exploite précisément la reconnexion des appareils appairés par le passé. Idéalement, lorsque des appareils se reconnectent les uns avec les autres, ils devraient re-vérifier les clefs de chiffrement.
Cependant, à cause du langage du protocole, cette ré-authentification complète n’est pas obligatoire, elle serait même le plus souvent totalement ignorée. Et même lorsqu’elle est effectivement appliquée, elle peut être contournée. Cela signifie que, en théorie, des personnes malintentionnées pourraient récupérer les connexions établies auparavant avec des appareils, leur permettant de tromper les utilisateurs en les faisant se connecter à un appareil totalement différent et en interceptant leur trafic pour mener des attaques diverses et variées.
Certains types d’appareils sont immunisés, les appareils Android non
La bonne nouvelle, cela dit, c’est que, selon ce que les chercheurs ont découvert, les appareils Windows seraient immunisés face à ce type d’attaque. Tout comme les appareils d’Apple, la firme de Cupertino ayant patché le problème en mai dernier. Cependant, tous les appareils IoT, les produits sous Android et les ordinateurs sous Linux sont à risque. Espérons que les fabricants corrigeront le problème rapidement sans quoi l’utilisation du Bluetooth pourrait être vraiment risquée, a fortiori dans les lieux publics.