Une vulnérabilité Bluetooth permettrait aux cybercriminels de suivre l'activité des personnes portant des trackers de fitness ou utilisant des appareils Apple
Avec le Wi-Fi, Bluetooth est sans doute la connexion sans fil la plus connue et la plus utilisée. Désormais présent sur toutes sortes d'appareils - des smartphones aux ampoules intelligentes en passant par les enceintes sans fil, les smartwatches et les trackers de fitness - il est extrêmement polyvalent et permet de connecter deux appareils sans consommer trop d'énergie.
En dépit de son utilisation généralisée (ou peut-être à cause d'elle), il arrive parfois que des pirates parviennent à découvrir, et à exploiter à leurs propres fins louches, des failles logicielles dans les micrologiciels Bluetooth. La dernière en date, par exemple, a été rendue publique il y a quelques heures à peine par un groupe de chercheurs de l'université de Boston. Il s'agit en particulier d'une vulnérabilité qui affecte certains des trackers de fitness les plus populaires du marché, donnant aux pirates la possibilité de déterminer la position du porteur ou de l'utilisateur avec une grande précision.
La faille de connexion Bluetooth
Comme mentionné, la vulnérabilité Bluetooth identifiée par l'Université de Boston permettrait à des tiers de déterminer la position de l'utilisateur, une information sensible, en particulier dans les mains d'un éventuel harceleur. La faille dans la connexion Bluetooth est liée à la manière dont la connexion entre deux appareils est établie et gérée.
Lorsque cela se produit, l'un des deux appareils prend un rôle "central", gérant les aspects techniques de la communication. En particulier, ce que l'on appelle le "maître" attribue à l'autre dispositif (appelé "esclave") une sorte d'adresse à laquelle les paquets de données sont envoyés. Pour protéger les utilisateurs, cette adresse est modifiée à intervalles réguliers, de manière à rendre la communication anonyme. Ou, du moins, essayez de le faire. Grâce à un algorithme complexe, il est en effet possible de remonter jusqu'à l'adresse d'origine et de retracer ainsi toutes les activités et les données envoyées.
Risque Bluetooth : appareils concernés
Selon les analystes et les chercheurs, les appareils Android ne sont pas concernés par la vulnérabilité, tandis que les appareils Apple et Windows 10 courent un risque réel. Les utilisateurs de FitBit doivent toutefois être particulièrement vigilants, car les appareils de fitness de la société basée à San Francisco sont incapables de mettre à jour leur adresse unique, ce qui en fait des proies faciles pour les attaquants.