Les cybercriminels pourraient exploiter plusieurs vulnérabilités dans Bluetooth pour mener des attaques d'usurpation d'identité et se faire passer pour un appareil légitime pendant le processus d'appairage, selon le Bluetooth Special Interest Group (SIG).
Les failles de sécurité, qui affectent les spécifications Bluetooth Core et Mesh Profile, ont été découvertes par des chercheurs de l'ANSSI.
« Les chercheurs ont identifié qu'il était possible pour un attaquant agissant en tant que MITM [Man-in-the-Middle] dans la procédure d'authentification par clé de passe d'utiliser une série de réponses élaborées pour déterminer chaque bit de la clé de passe générée aléatoirement et sélectionnée par l'initiateur de l'appariement à chaque tour de la procédure d'appariement, et une fois identifié, d'utiliser ces bits de clé de passe au cours de la même session d'appariement pour terminer avec succès la procédure d'appariement authentifiée avec le répondant », précise l'avis de sécurité du Bluetooth SIG.
Pour mener à bien l'attaque, l'auteur doit se trouver dans la portée sans fil de deux appareils Bluetooth vulnérables engagés dans la procédure d'appariement. Une fois le processus d'authentification terminé, le dispositif répondant sera authentifié avec l'attaquant au lieu de l'initiateur. Cependant, l'attaquant ne pourra pas utiliser cette méthode pour s'apparier avec l'appareil initiateur.
LIRE LA SUITE : Correction d’un bogue critique de Bluetooth rendant les utilisateurs d’Android vulnérables aux attaques
Le centre de coordination CERT américain (CERT/CC) a publié des détails supplémentaires sur les vulnérabilités, expliquant qu'un attaquant pourrait exploiter les failles pour compléter le protocole d'appariement et chiffrer les communications à l'aide d'une clé de liaison connue, s'authentifier sans la valeur AuthValue ou même utiliser la force brute pour s’y faufiler.
Des correctifs à venir
Les mises à jour des logiciels et des microprogrammes devraient être déployées au cours des prochaines semaines. Nous invitons donc les utilisateurs à être l'affût des correctifs en provenance des fournisseurs concernés.
À ce propos, l'Android Open Source Project, Cisco, Microchip Technology, Cradlepoint, Intel et Red Hat font partie des organisations identifiées par le CERT/CC comme étant affectées par au moins l’une de ces vulnérabilités. Les trois premières ont publié des déclarations confirmant qu'elles travaillent à la publication de correctifs ou de mesures d'atténuation pour les failles de sécurité, tandis que les autres ne se sont pas encore exprimées sur la question.
On ne sait pas si les bogues ont déjà été exploités dans la nature.
Le SIG a fait part de ses propres recommandations concernant les vulnérabilités et a exhorté les fournisseurs à publier des correctifs sans tarder.
