[INFO] Des vulnérabilités critiques identifiées au sein d’implémentations du protocole Bluetooth (BlueBorne)

[INFO] Des vulnérabilités critiques identifiées au sein d’implémentations du protocole Bluetooth (BlueBorne)

Le CERT-XMCO vous partage une information ayant fait l’actualité durant la semaine écoulée. Nous vous proposons de revenir sur la publication de huit failles de sécurité au sein de l’implémentation du protocole Bluetooth par les éditeurs Microsoft, Apple, Google, Samsung et Linux.


Description :

Huit vulnérabilités critiques ont été découvertes sur la plupart des produits utilisant le protocole Bluetooth. Elles touchent donc ordinateurs, smartphones, tablettes, smart TV, montres connectées et tout autre objet connecté disposant d’une interface Bluetooth.

Cet ensemble de vulnérabilité sur le protocole Bluetooth a été nommé BlueBorne.

Les vulnérabilités identifiées par les chercheurs (CVE-2017-0781CVE-2017-0782CVE-2017-0783CVE-2017-0785CVE-2017-1000250CVE-2017-1000251CVE-2017-14315 et CVE-2017-8628) proviennent en effet d’erreurs d’implémentation du protocole Bluetooth par les différents éditeurs (Microsoft, Apple, Google, Samsung et Linux).

Lorsque le Bluetooth est allumé, un appareil est en recherche constante d’appairage. En envoyant des requêtes spécifiquement conçues à un appareil en écoute, un attaquant peut alors être en mesure d’exécuter des commandes arbitraires sur l’appareil. L’attaquant ne nécessite pas d’être appairés avec l’appareil vulnérable pour que la vulnérabilité puisse être exploitée.

Ces vulnérabilités ont été divulguées de manière responsable et les éditeurs ont été contactés en avril et août. La plupart d’entre eux ont ainsi déjà pu apporter une réponse :

  • Microsoft affirme avoir déjà corrigé la faille avec un correctif paru en juillet et annonce que les Windows Phone ne sont pas vulnérables ;
  • Google a quant à lui distribué un correctif aux différents fabricants le mois dernier pour que ces derniers puissent transmettre la mise à jour à leurs propres clients ;
  • Samsung n’a pas répondu aux tentatives de contact des chercheurs ;
  • Chez Apple, seules les versions iOS 9.3.5 et inférieures sont touchées par la faille ;
  • Enfin, côté distributions Linux, les correctifs sont en cours de développement ou de déploiement.

Une vidéo de présentation de BlueBorne a été réalisée pour sensibiliser les utilisateurs et entreprises :

 


Référence :

Références CVE :

Référence CERT-XMCO :

CXN-2017-3389


Etienne Baudin

Analyste CERT-XMCO