Un groupe de chercheurs a publié un nouvelle vulnérabilité qui affecterait les connexions Bluetooth. Selon eux, la panne est classée comme grave car la sécurité et la confidentialité de tous les utilisateurs de Bluetooth seraient en danger.
Ma connexion Bluetooth est-elle vraiment non sécurisée ?
Le groupe de chercheurs, qui a annoncé cette nouvelle vulnérabilité de la connexion bluetooth lors du USENIX Security Symposium, a été clair : c'est du sérieux. Et oui, c'est parce que le Bluetooth SIG lui-même, l'organisme qui supervise les normes de cette technologie, a confirmé son existence et a publié un avis de sécurité de ce qu'ils ont appelé KNOB (Key Negotiation of Bluetooth).
Le bug en question consiste à profiter de la procédure d'appairage bluetooth pour changer la clé de cryptage pour une clé plus courte et donc plus facile à casser. De cette façon, une fois les appareils liés, une attaque par force brute serait utilisée pour connaître la clé et ainsi avoir accès aux données partagées entre les deux appareils.
Si nous tenons compte du fait qu'il existe des millions d'appareils dotés de ce type de connexion, tels que des téléphones, des ordinateurs, des voitures, des haut-parleurs, des appareils portables, etc., alors la menace est logiquement classée comme grave. Aussi, il n'y a pas de solution qui ne passe pas par un changement complet de la spécification. Vous devez donc rechercher des correctifs pour atténuer et réduire le risque.
Et voici la partie importante, comment cela vous affecte-t-il en tant qu'utilisateur ? Voyons voir, pour l'instant nous devons préciser que, selon les informations disponibles, seuls les appareils avec une connexion "classique" (Bluetooth BR/EDR) sont concernés. Si votre appareil utilise Bluetooth LE (basse énergie), il n'est pas à risque.
Dans le cas de l'utilisation de l'une des 17 puces, pour l'instant, identifiées comme susceptibles d'être attaquées, il faudra mettre à jour ou installer les correctifs de sécurité que les fabricants publient. Pour l'instant, seuls Apple et Microsoft ont publié des correctifs de sécurité. Bien que le core bluetooth pour définir la longueur minimale de la clé de cryptage sur une valeur plus élevée. Il est donc difficile de le casser par la force brute.
Par conséquent, si l'on tient compte du fait que pour en profiter, l'attaquant doit être dans le temps d'action de l'utilisateur et tout faire dans une fenêtre de temps très étroite, on peut dire que vous pouvez être tranquille. De plus, le Bluetooth SIG lui-même n'a aucune confirmation ou preuve qu'il a été exploité.
Quoi qu'il en soit, de nombreuses entreprises utilisent l'une de ces 17 puces concernées. Apple, Intel, Qualcomm, Broadcom et bien d'autres. Soyez donc attentif aux éventuelles mises à jour ou correctifs, il est important de maintenir vos appareils à jour pour éviter les problèmes de ce type.