Une faille de sécurité affectant le Bluetooth des appareils tournant sous Android
Encore une fois la technologie Bluetooth démontre des failles de sécurité pouvant mettre en danger les données des utilisateurs utilisant des appareils fonctionnant avec le système d’exploitation de Google c’est-à-dire Android.
Cet article va aussi vous intéresser :Traçage numérique : le Bluetooth comme le maillon faible
Les informations peuvent être tout simplement dérobées si l’attaquant sait comment exploiter efficacement la faille de sécurité.
C’est une vulnérabilité jusque-là méconnue. Elle va permettre, à l’insu de la cible de connecter un appareil Bluetooth à un smartphone, sans aucune intervention de l’utilisateur.
La faille de sécurité a été découverte par des chercheurs chinois de la DBAPPSecurity, une société spécialisée en cybersécurité, lors de tests effectués sur le fonctionnement du Bluetooth des Smartphones Android.
Selon les chercheurs qui ont fait la découverte, il serait possible de dérober certaines données telles que le contenu des SMS échangés et les contacts du téléphone. Cette vulnérabilité a été présentée lors de la BlackHat, l’un des plus importants rassemblements dédiés à la cybersécurité, le mercredi 05 août dernier. Cet événement s’est tenu cette année par visioconférence.
On parle ici d’une attaque donne la possibilité d’imiter un appareil Bluetooth « Sourcell Xu et Xin Xin ». Pour découvrir cette vulnérabilité, les deux chercheurs Chinois ont dû procéder à plusieurs attaques en se fondant sur des failles de sécurité déjà existant. C’est au fil de plusieurs essais qu’ils ont enfin réussi à découvrir la faille de sécurité.
Parmi les attaques informatiques qui ont été testé, il y a notamment celle du Badbluetooth, une technique servant à dérober des informations sur un Bluetooth en installant une application pirate sur l’appareil ciblé. Autant dire que cette technique n’est pas du tout discrète. Finalement leurs efforts n’ont pas été du tout vain. En effet, ils ont enfin réussi, à mettre à nu une faille du type de Zero Day. Ce genre de faille qui n’était pas connu lors de la conception du système et ni découvert par aucun autre.
De façon pratique, la vulnérabilité permet à l’attaquant de contourner les protocoles de Bluetooth.
Les chercheurs l’ont baptisé « BlueRepli ». L’attaquant peut ainsi se connecter au Bluetooth, en se faisant passer pour un périphérique qui s’est déjà connecté à ce dernier, et cela sans même que l’utilisateur ne donne son accord pour la demande de connexion. « Cette vulnérabilité fait que la victime ne se rend pas compte que les pirates accèdent à leur carnet de contacts », détaille Sourcell Xu lors d’une interview, au site spécialisé CyberScoop.
Les informations qui sont susceptibles d’être dérobés sont les SMS comme nous l’avons mentionné plus haut. En plus de cela nous avons l’historique des appels. Selon les chercheurs, sur un smartphone en particulier dont la marque a été dissimulé en particulier ces derniers, il serait possible d’envoyer des SMS sans que l’utilisateur ne s’en rendent compte.
Interrogé par les spécialistes, le géant américain Google, le gérant du système d’exploitation Android, affirme n’avoir pas produit de correctifs de sécurité face à cette nouvelle vulnérabilité. Mais que cela ne saurait tarder. Cependant, il faudrait souligner un fait. La technologie Bluetooth est régulièrement attaquée, régulièrement auscultée et vérifié par l’ensemble de la communauté de la cybercriminalité et de la cybersécurité. Il n’y a pas une seule année que l’on ne découvre, une vulnérabilité, par ci et par la. On rappelle même qu’en 2018, un chercheur en cybersécurité découvrait que plusieurs objets connectés étaient touchés, par une certaine vulnérabilité permettant aux attaquants de prendre le contrôle de ses objets, en passant par le Bluetooth. Et déjà en février dernier, le géant américain avait corrigé une vulnérabilité qui permettait, aux cyberattaquants de pouvoir éjecter des programmes malveillants dans le smartphone de leur victime. Cela ce dernier ne pouvait rien y faire pour les en empêcher.
Accédez maintenant à un nombre illimité de mot de passe :