Une faille dans Bluetooth permet aux attaquants d’espionner des communications cryptées

Des chercheurs ont découvert une nouvelle vulnérabilité de Bluetooth, appelée “Key Negotiation of Bluetooth” (KNOB). Elle permet aux attaquants d’espionner les communications cryptées et les données échangées entre deux appareils.

Cette vulnérabilité menace la sécurité et la confidentialité de plus d’un milliard d’appareils compatibles Bluetooth. Notamment des smartphones, des ordinateurs portables, des objets connectés et des appareils industriels.

La vulnérabilité, CVE-2019-9506, permet aux attaquants d’imposer la clé de cryptage utilisée lors de l’appariement pour surveiller ou manipuler plus facilement les données transférées entre deux appareils couplés.

La vulnérabilité a été dévoilée par le Centre pour la sécurité des technologies de l’information, la confidentialité et la responsabilisation (CISPA) et la Fédération du secteur pour le progrès de la sécurité Internet (ICASI).

Cette vulnérabilité permet à l’attaquant de réduire la longueur de la clé de cryptage utilisée pour établir une connexion, ce qui signifie qu’elle intercepte, surveille ou traite le trafic Bluetooth crypté entre deux appareils couplés.

Bluetooth SIG a mis à jour la spécification Bluetooth de base afin de résoudre ce problème de sécurité en recommandant une longueur minimale de la clé de cryptage BR / EDR. Bluetooth SIG recommande vivement aux développeurs de produits de mettre à jour les solutions existantes pour appliquer une longueur de clé de cryptage minimale pour le système BR / EDR.

De nombreux fournisseurs concernés ont commencé à publier des mises à jour de sécurité pour les systèmes d’exploitation et les microprogrammes, notamment:

– Microsoft pour Windows.

– Téléphones IP Cisco et Webex.

– Google pour Android.

– Apple pour MacOS, iOS et watchOS.

– Blackberry.

Avez vous quelque chose à dire sur cet article? Commentez ci-dessous ou partagez-le avec nous sur Facebook, Twitter ou notre groupe LinkedIn.

Source : Bluetooth.com