Un internaute, spécialiste en cybersécurité, a découvert une nouvelle faille informatique. Celle-ci concernerait la technologie Bluetooth, dont le protocole d’échange serait sujet à une vulnérabilité qui toucherait de nombreux appareils connectés.
Depuis près de 25 ans, le Bluetooth permet à des utilisateurs d’appareils connectés en tout genre : téléphone, smartphone, ordinateurs, tablettes, de se partager des fichiers ou d’appareiller des objets connectés entre eux, en toute simplicité. Néanmoins, au vu de son grand âge, chaque année, des chercheurs en cybersécurité trouvent de nouvelles failles à son égard. Elles font malheureusement du Bluetooth, un protocole de moins en moins sécurisé, voire « un endroit effrayant » selon les dires de Marc Newlin, l’internaute qui a découvert la faille.
Keyboard, ou quand le Bluetooth permet de contrôler le smartphone de quelqu’un d’autre
La faille découverte par Marc Newlin concerne n’importe quel appareil, peu importe son système d’exploitation. Baptisée Keyboard, cette faille permet à n’importe qui s’appairer à un appareil sans avoir à obtenir la confirmation de son propriétaire en faisant passer son objet connecté pour un clavier sans fil. Si la manipulation est réussie, il est littéralement possible de prendre le contrôle de l’appareil, comme l’indique le spécialiste en cybersécurité dans un billet de blog :
« Cette faille permet d’injecter des frappes au clavier pour, par exemple, installer des applications, exécuter des commandes arbitraires, transférer des messages, etc. »
Si vous utilisez des appareils Android, la vulnérabilité est exploitable à partir du moment où le Bluetooth est actif. Sur les ordinateurs macOS ou vos iPhone et iPad sous iOS, le Bluetooth doit également être actif, mais un clavier Magic Keyboard doit avoir été appairé une première fois pour que la personne malintentionnée ne puisse exploiter le bug. Enfin, sur les machines Linux, il n’est possible de se servir de la faille que lors de la phase d’appairage et de recherche d’appareil Bluetooth.
Suite à la découverte de ce bug, les entreprises à l’origine des systèmes d’exploitation, à savoir Google pour Android et Apple pour macOS et iOS, ont rapidement travaillé sur des correctifs. Dès ce mois-ci, des patchs seront installés automatiquement sur les appareils Android, macOS et iOS afin de régler le problème. Les utilisateurs Linux, eux, devront installer un correctif manuellement pour éviter que quelqu’un ne puisse exploiter la faille. Mais nos problèmes semblent loin d’être terminés…
Cette année, des chercheurs de l’école d’ingénieur française Eurecom ont mis en lumière deux failles dans le Bluetooth. Baptisées BLUFFS, la personne les exploitant peut forcer un appareil à révéler sa procédure de chiffrement. Même si ces vulnérabilités sont beaucoup plus complexes à utiliser que Keyboard, des pirates informatiques aux compétences accrues peuvent totalement l’utiliser pour usurper l’identité de leurs victimes…