Une nouvelle semaine, une nouvelle faille informatique. Un spécialiste en cybersécurité vient de dévoiler des résultats de recherches, peu flatteurs, concernant le Bluetooth.
Simple d’utilisation et hyper répandu, le Bluetooth semble avoir bien des problèmes. Les failles de sécurité trouvée au sein du protocole d’échange sans fil sont légion. En 2020 déjà, un problème inhérent au développement du standard lui-même faisait parler de lui en raison de sa présence dans un grand nombre d’appareils. Trois ans plus tard, rebelote. Un chercheur en sécurité vient de détailler le fonctionnement d’une faille importante qui touche des millions d’appareils.
Les appareils Android, iOS, Mac et Linux concernés
Ce bug, découvert par un internaute se présentant sous le nom de « Keyboard », permet de se connecter de façon discrète à n’importe quel appareil à portée. En se faisant passer pour un clavier sans-fil, il est possible de s’appairer à une machine, qu’elle soit macOS, Android, Linux ou iOS, sans la confirmation de son propriétaire. Une fois la connexion établie, il est possible « d’injecter des frappes au clavier pour, par exemple, installer des applications, exécuter des commandes arbitraires, transférer des messages, etc. ». En somme, prendre le contrôle d’un appareil.
Le bug est exploitable sur les appareils Android dès que le Bluetooth est activé. Pour les machines iOS ou macOS, le Bluetooth doit être actif et un clavier Magic Keyboard doit avoir été appairé une première fois à l’appareil. Enfin, les machines Linux ne sont vulnérables que lors de la phase d’appairage et de recherche d’appareil Bluetooth.
Le bug a été testé sur les versions d’Android allant de la 4.2.2 jusqu’à la toute récente version 14, sur macOS avec la version 12.6.7 sur un MacBook Air et 13.3.3 sur un MacBook Pro M2. Sur iOS, la version 16.6, au moins, semble être touchée et, quant à Linux, les versions d’Ubuntu depuis la 18.04 semblent concernées aussi.
Des correctifs déjà déployés
Fort heureusement, les constructeurs d’appareils ayant été prévenus, des correctifs ont été, ou vont être déployés. Sur Android, les patchs de décembre 2023 devraient régler le problème et sur Linux, il existe un correctif à installer à la main (en attendant qu’il trouve son chemin jusqu’aux dépôts officiels des différentes distributions). Malheureusement, il est peu probable que les vieilles versions d’Android aient un jour le droit à un correctif.
Pas de panique cependant, l’attaque ne peut être menée que lorsque votre appareil est à portée de Bluetooth, ce qui réduit les risques. Pensez malgré tout à bien faire vos mises à jours dans les prochaines semaines. Ce n’est de toute façon jamais perdu, qui sait quand la prochaine vulnérabilité Bluetooth sera découverte ?
Source : Github
Journaliste depuis quasiment 10 ans, j’ai écumé le secteur de la tech et du numérique depuis mes tout premiers chapôs. Bidouilleur (beaucoup), libriste (un peu), j’ai développé une spécialisation sur les thèmes de l’écologie et du numérique ainsi que sur la protection de la vie privée. Le week-end je torture des Raspberry Pi à grands coups de commandes 'sudo' pour me détendre.
Lire d'autres articles
