BLUFFS, une nouvelle attaque qui permet aux pirates informatiques de lire nos informations Bluetooth
décembre 2023 par Benoit Grunemwald Expert en Cybersécurité, ESET France
Des chercheurs d’Eurecom ont mis au point six nouvelles attaques regroupées sous le nom de "BLUFFS". Ces attaques peuvent compromettre la confidentialité des sessions Bluetooth, permettant ainsi l’usurpation d’appareils et des attaques du Man-on-the-middle (MitM), rapporte Bleeping Computer. Daniele Antonioli, qui a découvert les attaques, explique que BLUFFS exploite deux failles jusqu’alors inconnues dans la norme Bluetooth liées à la manière dont les clés de session sont dérivées pour déchiffrer les données échangées. Ces failles ne sont pas spécifiques à des configurations matérielles ou logicielles particulières, mais sont d’ordre architectural, ce qui signifie qu’elles affectent le protocole Bluetooth à un niveau fondamental. Compte tenu de son utilisation généralisée et des versions touchées par les exploits, BLUFFS pourrait fonctionner contre des milliards d’appareils, y compris des ordinateurs portables, des smartphones et d’autres appareils mobiles.
« BLUFFS se distingue des autres vulnérabilités Bluetooth car il ne dépend pas de configurations matérielles ou logicielles spécifiques. Ce qui le rend unique, c’est qu’il exploite deux nouvelles faiblesses architecturales trouvées dans les normes Bluetooth, liées à la manière dont les clés de session sont créées pour chiffrer les données. Cette approche diffère des vulnérabilités classiques qui nécessitent généralement des configurations ou systèmes spécifiques. Et comme elle touche la plupart des versions de Bluetooth, y compris les plus récentes, cela signifie qu’un nombre significatif d’appareils dans le monde sont actuellement vulnérables.
Pour les particuliers comme pour les entreprises, il est difficile de se protéger contre cette attaque, jusqu’à ce qu’une mise à jour appropriée soit diffusée. D’ici là, nous recommandons l’activation du mode connexions sécurisées lors de l’appariement et la désactivation du Bluetooth lorsqu’il n’est pas utilisé. Soyez vigilant lorsqu’un appareil inconnu tente de communiquer avec vos appareils, dans les lieux publics en particulier. »