Les chercheurs ont découvert une faille dans certaines implantations de Bluetooth, qui pourrait permettre à un attaquant d'intercepter ou d'altérer les données échangées entre deux dispositifs vulnérables.
Le bogue cryptographique, identifié comme CVE-2018-5383, a été mis en lumière par des scientifiques de l'Institut israélien de technologie. Il a une incidence sur deux caractéristiques Bluetooth connexes : le jumelage Secure Simple Pairing et les connexions LE Secure Connections.
Le Bluetooth Special Interest Group (SIG), qui est l'organe directeur derrière la norme Bluetooth, a expliqué que certaines implantations de Bluetooth ou de pilotes de logiciels de système d'exploitation ne parviennent pas à valider la clé de chiffrement publique reçue par voie hertzienne pendant l'appairage des appareils.
Précisons que cette vérification n'est pas nécessaire. Elle est néanmoins recommandée par la spécification Bluetooth. Ou pour être plus précis, elle l’était. En effet, SIG a également annoncé une mise à jour de la spécification Bluetooth précisant que tous les paramètres utilisés pour les connexions Bluetooth à clé publique doivent être validés.
Le US CERT Coordination Center (CERT/CC) a publié des détails supplémentaires sur la vulnérabilité, expliquant que le mécanisme de couplage d'appareils Bluetooth repose sur l'échange de clés à courbe elliptique Diffie-Hellman (ECDH). « Une paire de clés ECDH se compose d'une clé privée et d'une clé publique, et les clés publiques sont échangées pour produire une clé d'appariement partagée. Les appareils doivent également se mettre d'accord sur les paramètres de la courbe elliptique utilisée », peut-on lire dans l'avis.
« Dans certaines implantations, les paramètres de la courbe elliptique ne sont pas tous validés par l'implémentation de l'algorithme cryptographique, ce qui peut permettre à un attaquant distant à portée sans fil d'injecter une clé publique invalide pour déterminer la clé de session avec une probabilité élevée. Un tel attaquant peut alors passivement intercepter et déchiffrer tous les messages de l'appareil, ou les falsifier et injecter des messages malveillants », selon CERT/CC.
Tout n'est pas perdu
Les mises à jour logicielles et de micrologiciel (ou firmware) sont attendues dans les semaines à venir, selon le CERT/CC. Les utilisateurs seraient donc bien avisés de rester attentif pour les correctifs des fournisseurs.
Apple, Broadcom et Intel ont tous confirmé l’existence de cette faille, et les deux premiers ont déjà publié des correctifs. Les chipsets de Qualcomm sont également listés comme affectés dans l'avis du CERT/CC, alors que les implications pour Android, Google et le noyau Linux par rapport à cette vulnérabilité demeurent à déterminer. Windows n’est pas affecté.
Selon SIG, aucune exploitation de ce bogue dans la nature n’a été observé. Quoi qu'il en soit, une telle attaque de type man-in-the-middle exigerait de l'agresseur qu’il se place à l'intérieur de la portée des deux dispositifs Bluetooth ciblés alors qu’ils effectuent la procédure de couplage. De plus, les deux dispositifs doivent être vulnérables pour que l'attaque réussisse.
La contre-mesure la plus simple est sans doute de désactiver le Bluetooth lorsque vous ne l'utilisez pas.