Vulnérabilité bluetooth, plusieurs smartphones mis en danger
Des chercheurs spécialisés en sécurité informatique d’une Université de Singapour ont découvert récemment plusieurs failles de sécurité SweynTooth qui affectent et la technologie Bluetooth Low Energy.
Le fait que cette dernière technologie soit embarquée dans plusieurs systèmes de puce tel que Cypress, Dialog, Microchip, Semiconductors… En tout, plus d’une quinzaine de système sur puce que l’on peut facilement trouver dans environ 450 produits serait donc touchée par la vulnérabilité. Cette faille de sécurité s’est alors dénommée SweynTooth.
Cet article va aussi vous intéresser : Les appareils qui fonctionnent avec la technologie Bluetooth seraient vulnérables
Il n’y a rien d’inédit à cela, on le sait tous les technologies Bluetooth n’échappe aucunement à quelques vulnérabilité par-ci par-là. on se rappelle alors de la découverte faite par des spécialistes de la sécurité concernant la faille CVE-2018-5383, qui pourrait permettre aux spécialistes du piratage informatique de non seulement intercepter les échanges de données, mais aussi de les endommager. Certaines failles de sécurité viennent à peine d’être découvertes offrant les mêmes possibilités.
Concernant la vulnérabilité SweynTooth, les chercheurs qui l’ont découvert sont experts en technologie et design de l’Université de Singapour et sont connus sous les noms de Matheus E. Garbelini, Sudipta Chattopadhyay, Chundong Wang. Ils réussirent à mettre à nu plus d’une dizaine du genre. « Les vulnérabilités peuvent être utilisées par un attaquant qui se trouve dans le champ d’émission Bluetooth et peuvent faire planter les appareils concernés, forcer un redémarrage, les bloquer ou contourner le mode de couplage BLE sécurisé et accéder aux fonctions réservées aux utilisateurs autorisés », explique Bleepingcomputer.
Apparemment, les chercheurs avaient découvert depuis la fin de l’année 2019 l’ensemble de ces failles mais, à cause du protocole, mais il a fallu attendre 90 jours avant de faire une publication officielle pour l’annoncer. Parmi ces vulnérabilité, « on trouve Zero LTK Installation (CVE-2019-19194 ), Link Layer Length Overflow ( CVE-2019-16336 , CVE-2019-1751 Link Layer LLID deadlock ( CVE-2019-17061 et CVE-2019-17 Truncated L2CAP ( CVE-2019-17517 ), Silent Length Overflow ( CVE-2019-17518 ), Invalid Connection Request (CVE-2019-19193 ), Unexpected Public Key Crash ( CVE-2019-17520 ), Sequential ATT Deadlock ( CVE-2019-19192) , Invalid L2CAP fragment ( CVE-2019-19195 ) et Key Size Overflow ( CVE-2019-19196 ). »
Plusieurs centaines de périphériques à travers le monde utilise ces différentes puces touchées par les vulnérabilités évoquées plus haut. De nombreux accessoires en font recourt tels que les montres connectées, des systèmes de gestion de la domotique…
Cependant, les fabricants de puces et autres fournisseurs des périphériques concernés par les failles de sécurité n’ont pas encore fait des déclarations officielles concernant de potentiels correctifs de sécurité. Ce qui pourrait peut-être dire que tous les appareils déjà en circulation sont non seulement vulnérables, mais aurait pu être déjà victimes des quelques attaques informatiques jusqu’à présent non déclarées. Ce qui serait sage alors c’est de conseiller aux utilisateurs des outils déjà en circulation de faire très attention à leur usage. Voir s’en passer si aucune mise à jour de sécurité n’est proposée jusqu’à lors. En fait, les utilisateurs des différents outils concernés par la généralité devrait si possible, et cela est important de faire les contrôles de sécurité de leurs systèmes pour s’assurer qu’il n’y a pas eu d’intrusion.
Accédez maintenant à un nombre illimité de mot de passe :