Traçage numérique : le Bluetooth comme le maillon faible
Le traçage mobile continue de faire parler de lui.
Appréhendé comme étant une solution pour aider à circonscrire l’évolution de la pandémie, ces derniers temps une vulnérabilité non négligeable a été soulevée concernant l’un des outils clés, le Bluetooth. Cette technologie avait été envisagée comme étant le centre de l’utilisation de l’application, mais pourrait être plus problématique qu’elle en a l’air. En effet laisser constamment son Bluetooth activé, surtout pour des appareils qui n’ont pas été mis à jour depuis un bon moment, pourrait les exposés à de potentielles attaques informatiques. Depuis le début du projet, il faut avouer, que l’usage de la technologie Bluetooth pour le fonctionnement de l’application initiée par le gouvernement n’a pas vraiment fait l’unanimité auprès des spécialistes. En effet, pour ces experts et en prenant appui sur la pratique, le Bluetooth n’a pas très bonne réputation en terme de sécurité informatique, le réseau n’est pas robuste.
Cet article va aussi vous intéresser : Vulnérabilité Bluetooth, plusieurs smartphones mis en danger
Et elle est vulnérable à plusieurs formes de cyberattaque. Même l’Agence nationale de sécurité des systèmes d’information a tendance a révélé les points faibles du Bluetooth. Et cela, le gendarme français de la cybersécurité de fait et à plusieurs reprises, le décrit sur son site web. On se rappelle qu’en 2018 dans ses recommandations portant sur le nomadisme numérique, l’ANSSI conseillait ceci : « désactiver les services qui ne sont pas nécessaire d’un point de vue métier et qui sont potentiellement sources de menaces, comme la géolocalisation, le Bluetooth, le NFC 6, etc. ». Automatiquement, la future application pose le problème. Celui d’exiger que le Bluetooth soit activé en permanence. Sinon sans cela les informations ne pourront pas être rassemblées et partagées comme il le faut. Pour résumer la future application mettra plus en danger les utilisateurs, au regard de la sécurité informatique et des recommandations de l’ANSSI.
Pour attirer l’attention sur le danger que représentent StopCoviD, un groupe de 15 chercheurs spécialisés dans la cybersécurité ou le droit à l’informatique, ont récemment publié une analyse portant sur les effets indésirables de l’application de traçage. L’analyse en question était intitulée : « Le traçage anonyme, dangereux oxymore. ». On peut y lire ces remarques : « Son utilisation peut en effet ouvrir des failles de sécurité qui exploiteraient des bugs dans le système Bluetooth du téléphone. Concrètement, l’attaque Blueborne publiée en 2017 permettait justement de prendre le contrôle de nombreux équipements (ordinateurs, téléphone, …) en exploitant ce type de bug. Si certains téléphones n’ont pas été mis à jour depuis 2017, activer le Bluetooth pourrait être très dangereux ! ».
Il faut aussi tenir compte du fait que cette technologie ( crée depuis 1994) n’a pas été créé pour de telles conditions. Son développement a été peu coûteux et la question de sécurité n’a pas véritablement été au fondement. « Le Bluetooth repose sur un socle ancien de normes. Ce n’est pas en l’état actuel un protocole associé à une bonne qualité en termes de sécurité. L’objectif à l’origine était d’être une technologie ouverte par nature, afin de permettre à un objet de se connecter très facilement à courte distance et sans intervention de l’utilisateur. Le Bluetooth n’a pas été sécurisé dès l’origine pour les niveaux d’exigence actuels. », note Loïc Guézo, expert en sécurité informatique et secrétaire général du club de la sécurité de l’information français, « le Clusif ».
Plusieurs smartphones sont équipés de cette technologie, et une très grande partie n’ont pas été mise à jour depuis très longtemps. Les vulnérabilités sont forcément de la partie. C’est cela le risque principal du déploiement de l’application de traçage du gouvernement français. Il existe des smartphones en circulation ne disposant pas de la dernière version du Bluetooth. « Certains terminaux soit par ce qu’ils sont trop anciens, soit par ce qu’il s’agit de terminaux d’entrée de gamme, ne peuvent pas bénéficier des dernières mises à jour. » explique le co-fondateur de la société Sylink, un fournisseur de solutions de sécurité, David Legeay.
Les outils pour profiter des failles de Bluetooth existent bel et bien. L’usage de certains n’exigent même pas de connaissance de base du piratage informatique. David Legeay indique même : « Certains de ces outils sont même accessibles gratuitement sur le net. ».
Accédez maintenant à un nombre illimité de mot de passe :