Une nouvelle vulnérabilité Bluetooth a été découverte par Daniele Antonioli, un chercheur en sécurité, qui l’a nommée BLUFFS. Il s’agit en fait d’un ensemble de six failles qui affectent la plupart des appareils qui utilisent le Bluetooth, de la version 4.2 à la version 5.4. Ces failles permettent à un attaquant de réaliser des attaques de type Man-In-The-Middle et de casser la clé de chiffrement qui protège les communications entre les appareils.
Pour exploiter ces failles, l’attaquant doit se trouver à proximité de deux appareils Bluetooth vulnérables et intercepter leur trafic. Le chercheur a testé son attaque sur 18 appareils différents, dont des iPhones, des Google Pixel, des ordinateurs portables et des Airpods. Il a constaté que tous les appareils étaient affectés par au moins trois des six failles.
Le site officiel du Bluetooth a confirmé l’existence de ces failles, qui sont répertoriées sous le nom de CVE-2023-24023. Il a également donné des conseils pour les corriger. Il s’agit principalement d’augmenter la longueur minimale de la clé de chiffrement à 7 octets, voire 16 octets pour les appareils les plus sécurisés. Cela rendrait plus difficile pour l’attaquant de casser la clé en un temps raisonnable.
Certains fabricants ont déjà mis à jour leurs appareils pour corriger ces failles. C’est le cas de Microsoft, qui a inclus un correctif dans la mise à jour de novembre 2023 pour Windows. D’autres fabricants devraient suivre le mouvement rapidement.
En attendant, les utilisateurs peuvent limiter les risques en désactivant le Bluetooth sur leurs appareils quand ils ne l’utilisent pas. Le Bluetooth est une technologie très répandue, qui permet de connecter des écouteurs, des enceintes, des montres ou des claviers sans fil. Il faut donc être vigilant sur la sécurité de ces connexions.
Cet article a été modifié pour la dernière fois le 1 décembre 2023 12h19