Un rapport récent a potentiellement révélé un problème majeur de sécurité Bluetooth qui pourrait permettre aux criminels d’usurper l’identité d’autres appareils. Cela pourrait affecter même la dernière mise à jour de Bluetooth et certaines des anciennes versions.
Les failles de sécurité ont été développées par une équipe de l’institut de recherche Eurecom. Ces faiblesses ont été nommées « BLUFFS » ou Bluetooth Forward and Future Secrecy. La faiblesse semble affecter les versions Bluetooth 4.1 à 5.4. Tout modèle de téléphone exécutant ces versions serait vulnérable à au moins trois des six types d’attaques développés, selon un rapport de Ordinateur qui émet un bip. Cela signifierait que tous les téléphones, de l’iPhone 6 à l’iPhone 15, pourraient être affectés par BLUFF.
BLUFFS n’est pas répertorié comme une configuration matérielle ou logicielle, mais est plutôt architectural, ce qui signifie qu’il ne peut pas être corrigé facilement. L’exploit est lié à deux failles jusqu’alors inconnues liées à la manière dont les clés de session sont dérivées pour déchiffrer la date.
BLUFFS nécessite que les deux téléphones soient à portée Bluetooth l’un de l’autre pour fonctionner. Une fois à portée, l’attaquant peut modifier les clés sécurisées utilisées pour chiffrer les données. Ils peuvent décoder ou falsifier les données, ce qui oblige l’attaquant à se faire passer pour l’un des appareils partageant des données.
Il est important de préciser que rien ne garantit que la majorité des gens seront concernés par ces failles. Cependant, certaines mesures peuvent être prises pour protéger votre appareil. La première consiste à désactiver le Bluetooth lorsqu’il n’est pas utilisé. C’est également une bonne idée de se connecter uniquement à des appareils vérifiés et jamais à une source inconnue.
Bluetooth travaille probablement à résoudre le problème et quelques suggestions ont été faites. La première consiste à introduire une génération de clé sécurisée. Ce serait une solution rapide et permettrait aux utilisateurs de confirmer que leurs données sont envoyées au bon endroit. Cependant, il y aura probablement plus d’informations à venir sur les correctifs proposés.