La vulnérabilité BlueBorne permet de mener une cyberattaque sur les appareils Bluetooth : voici comment se défendre
Le Bluetooth est très pratique quand on a besoin d'établir une connexion entre deux appareils situés à une courte distance l'un de l'autre, comme une enceinte ou un casque sans fil pour le smartphone, ou quand on a besoin de transférer des fichiers d'un appareil à un autre. Mais il peut aussi représenter un danger, en raison de plus d'une vulnérabilité dans cette norme.
Des vulnérabilités bien connues, d'ailleurs, comme celle dite "BlueBorne" découverte en 2016-17 : il s'agit de pas moins de huit failles de sécurité dans le protocole Bluetooth, sans lien avec le système d'exploitation utilisé par le smartphone, mais que les fabricants d'appareils et d'OS mobiles semblent avoir largement sous-estimées. Douze mois après la découverte de BlueBorne, en septembre 2018, les chercheurs d'Armis Security ont calculé qu'il existait encore 2 milliards d'appareils attaquables. En effet, nous ne parlons pas seulement des smartphones, mais de tous les appareils qui intègrent une puce Bluetooth : des PC aux téléviseurs intelligents. Quiconque parvenait à mener une attaque BlueBorne pouvait, en substance, s'emparer de toutes les données de l'appareil, même sans l'appairer. Si BlueBorne a été la vulnérabilité la plus importante et la plus dangereuse à affecter Bluetooth ces dernières années, de nombreuses vulnérabilités plus petites ont été découvertes et corrigées au fur et à mesure de la publication de correctifs pour divers systèmes d'exploitation. Jusqu'à la dernière mise à jour cumulative de juin 2019 de Windows 10, par exemple, Microsoft a corrigé un certain nombre de failles dans cette connexion en empêchant intentionnellement les connexions entre Windows et les périphériques Bluetooth non sécurisés qui utilisent des clés de sécurité bien connues pour chiffrer les connexions. Sur Linux, cependant, les choses sont plus compliquées en raison de l'absence d'un système de mise à jour automatique et centralisé qui permet au développeur du système d'exploitation de contourner l'utilisateur et de corriger les bugs risqués.
Mieux vaut désactiver Bluetooth
A la lumière de tout cela, le conseil pour utiliser Bluetooth de manière plus sûre est de le désactiver lorsqu'il n'est pas strictement nécessaire. Le fait que la portée réelle de cette norme ne dépasse généralement pas 10 mètres limite le risque d'attaques massives contre des appareils, mais pas le risque d'attaques individuelles contre des appareils individuels. En outre, le fait de se tenir au courant des vulnérabilités de Bluetooth et d'installer manuellement les correctifs qui ne peuvent pas être installés automatiquement limite encore plus les risques.