Les appareils Apple vulnérables à une nouvelle faille de sécurité Bluetooth

Les appareils Apple vulnérables à une nouvelle faille de sécurité Bluetooth

L'institut de recherche universitaire Eurecom a découvert des failles de sécurité dans la norme sans fil Bluetooth qui pourraient permettre à un agent de menace d'usurper l'identité d'un appareil et de lancer des attaques de type "man-in-the-middle". Les failles ont été découvertes dans plusieurs versions du protocole Bluetooth, y compris la version actuelle 5.4, ainsi que la version 5.3 qui est utilisée dans la gamme actuelle de matériel d'Apple.

Eurecom a développé une série d'attaques appelées "Bluetooth Forward and Future Secrecy" (BLUFFS) qui exploitent les faiblesses découvertes dans le protocole Bluetooth. Selon un document de recherche de Daniele Antonioli d'Eurecom, "Les attaques exploitent deux nouvelles vulnérabilités que nous avons découvertes dans la norme Bluetooth et qui sont liées à la dérivation unilatérale et répétable de la clé de session".

"Nous montrons que nos attaques ont un impact critique et à grande échelle sur l'écosystème Bluetooth", écrit Antonioli, "en les évaluant sur 17 puces Bluetooth différentes (18 appareils) provenant de fournisseurs de matériel et de logiciels populaires et prenant en charge les versions Bluetooth les plus courantes."

Lire aussi :  Secure Exclave arrive sur l'iPhone 16

Pour exécuter les attaques BLUFFS, un agent de menace doit se trouver à portée des appareils de la cible. BLUFFS exploite quatre failles dans le processus de dérivation de la clé de session Bluetooth qu'un attaquant peut exploiter et utiliser pour se faire passer pour l'un des appareils.

M. Antonioli donne des indications aux développeurs sur la manière dont les failles de sécurité peuvent être corrigées. "Nous proposons une fonction améliorée de dérivation de la clé de session Bluetooth qui arrête par conception nos attaques et leurs causes profondes. Notre contre-mesure est rétrocompatible avec la norme Bluetooth et ajoute des frais généraux minimes."

Comment se protéger

Étant donné que BLUFFS fait partie d'un projet de recherche, les utilisateurs n'ont pas à s'inquiéter de son utilisation dans la nature. Cependant, Eurecom a mis en évidence des failles dans Bluetooth qui existent depuis un certain temps. Le groupe d'intérêt spécial Bluetooth est chargé de superviser le développement de la norme Bluetooth et devra combler ces lacunes.

Lire aussi :  Apple acquiert la startup DarwinAI pour intensifier ses efforts en matière d'IA

Apple, pour sa part, peut résoudre certains de ces problèmes grâce à des correctifs apportés au système d'exploitation. Il est donc important d'installer les mises à jour du système d'exploitation dès que possible. Les vulnérabilités liées à BLUFFS ont été enregistrées dans la Nation Vulnerability Database en tant que CVE-2023-24023 ; si/quand Apple publie des correctifs pour cela, l'entreprise devrait les enregistrer dans son document sur les communiqués de sécurité.

Les utilisateurs qui souhaitent adopter une approche proactive peuvent désactiver Bluetooth lorsqu'il n'est pas utilisé. Cette opération peut être effectuée rapidement sur l'iPhone, l'iPad et le Mac via le Centre de contrôle.

Click to rate this post!
[Total: 0 Average: 0]

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *