L’équipe de chercheurs rappelle que « la norme Bluetooth fournit des mécanismes d’authentification basés sur des clés d’appariement à long terme, qui sont conçus pour protéger contre les attaques d’usurpation d’identité ». Problème, avec BIAS (CVE-2020-10135) ce mécanisme peut être cassé et un pirate peut usurper l'identité d’un périphérique associé. Tous les détails techniques et une vidéo sont disponibles ici.
Selon les chercheurs, « tout appareil conforme aux normes Bluetooth peut être vulnérable ». « Nous avons mené des attaques BIAS sur plus de 28 puces Bluetooth différentes (en attaquant 30 appareils). Au moment d’écrire ces lignes, nous avons pu tester des puces de Cypress, Qualcomm, Apple, Intel, Samsung et CSR. Tous les appareils que nous avons testés étaient vulnérables à l’attaque BIAS », ajoutent-ils.
Les détails de cette attaque ont été dévoilés de manière responsable en décembre, certains fabricants ont donc pu déployer des mises à jour entre temps. Pour faire simple : « si votre appareil n’a pas été mis à jour depuis décembre 2019, il est probablement vulnérable ».
De son côté, le Bluetooth Special Interest Group (Bluetooth SIG) confirme la dangerosité de la faille et précise travailler à un correctif, qui passera par une mise à jour de la norme Bluetooth. En attendant, il donne des recommandations aux fabricants pour limiter les risques
Source : Cette information et actualité qui a suscité notre intérêt, a été publiée sur le site nextinpact.com que nous remercions. il nous a semblé pertinent de vous en faire profiter.
