Les appareils prenant en charge le Bluetooth BR/EDR et LE utilisant la dérivation de clé de transport croisé (CTKD) pour l’appairage sont vulnérables aux attaques de l’homme du milieu (Man In The Middle, MITM), selon les chercheurs de l’École Polytechnique Fédérale de Lausanne (EPFL) et de l’Université Purdue.
La vulnérabilité, surnommée «BLURtooth», pourrait permettre aux attaquants d’écraser ou de réduire la force de la clé de chiffrement pour appairer des périphériques Bluetooth en toute sécurité, permettant un accès supplémentaire à des profils ou des services qui ne sont pas autrement restreints.
La vulnérabilité provient de failles d’implémentation prenant en charge l’appairage et le chiffrement par Bluetooth Low Energy dans les spécifications Bluetooth 4.2 à 5.0, ont noté les chercheurs. Selon une déclaration publiée par l’organisation supervisant le développement des normes Bluetooth (le Bluetooth Special Interest Group), l’appareil sans fil attaquant doit être à portée d’un appareil Bluetooth vulnérable pour qu’une attaque réussisse.
“Si un appareil usurpant l’identité d’un autre appareil est couplé ou lié à un transport et que la CTKD est utilisée pour dériver une clé qui écrase ensuite une clé préexistante de plus grande force ou qui a été créée à l’aide de l’authentification, l’accès aux services authentifiés peut alors avoir lieu”, ajoute le Bluetooth SIG. “Cela peut permettre une attaque Man In The Middle (MITM) entre des appareils précédemment liés à l’aide d’un couplage authentifié lorsque ces appareils homologues sont tous deux vulnérables.”
Le Bluetooth SIG a suggéré des mesures d’atténuation pour les appareils potentiellement vulnérables, notamment :
tags
The meaning of Bitdefender’s mascot, the Dacian Draco, a symbol that depicts a mythical animal with a wolf’s head and a dragon’s body, is “to watch” and to “guard with a sharp eye.”
Voir toutes les publicationsJuillet 01, 2024
Juin 10, 2024
Juin 03, 2024
Mai 16, 2024