Une nouvelle faille Bluetooth menace la sécurité de nos smartphones

Des chercheurs en cyber-sécurité de l'École polytechnique fédérale de Lausanne en Suisse ont découvert une faille dans le protocole Bluetooth qui rend des milliards d'appareil Bluetooth vulnérables. Cette vulnérabilité touche des milliards d'appareils disposant de cette connectivité sans fil.

Baptisée Bluetooth Impersonation Attacks ou (BIAS), cette méthode d'attaque fonctionne sur deux types de transfert de données sans fil entre les appareils qui utilisent la technologie Bluetooth Classic : Basic Rate (BR) et Enhanced Data Rate (EDR). Selon ces chercheurs, ces attaques sont faciles à mettre en place en utilisant un équipement à faible coût d'achat tel qu'un Raspberry Pi.

Dès qu'un hacker met son appareil à portée d'un autre smartphone, il peut commencer à espionner une connexion BR ou EDR entre votre appareil et un périphérique apparié comme par exemple les écouteurs Bluetooth ou une montre connectée pour découvrir leurs adresses.

Il faut savoir que lorsque deux appareils Bluetooth sont couplés la première fois, ils échangent une clé de chiffrement à long terme qui est stockée afin d'accélérer et de sécuriser la connexion. Lorsque le hacker se connecte, il va imiter l'adresse Bluetooth de l'accessoire déjà jumelé.

• Au début du processus d'association, le pirate doit éviter de fournir la clé de chiffrement afin de se faire passer pour l'appareil maître pour créer une liaison sans avoir à s'authentifier. Une fois connecté, il peut récupérer les données qu'il souhaite.
• Le problème avec cette faille se trouve sur de nombreux appareils utilisant ce protocole dans le monde. Cette faille officiellement reconnue par l'organisme officiel en charge du Bluetooth (Bluetooth Special Interest Group) a fait savoir que des correctifs seront apportées dans une prochaine version.