De BLURtooth à BrakTooth, les vulnérabilités affectant le bluetooth - et par effet domino les terminaux qui disposent de cette fonction - sont légion. Citons également un peu plus loin dans temps (2016) MouseJack qui affectait dongles et souris de 17 fournisseurs rendant possible la prise de contrôle d'un système via de l'injection de touches (keystroke injection). A l'origine de la découverte de cette dernière faille, un chercheur en sécurité baptisé Keyboard qui vient de se rappeler à notre bon souvenir en publiant une dernière recherche révélant l'existence d'une nouvelle faille bluetooth.
« Plusieurs piles bluetooth présentent des vulnérabilités de contournement d'authentification qui permettent à un attaquant de se connecter à un hôte découvrable sans confirmation de l'utilisateur et effectuer de l'injection de touches », explique le chercheur en sécurité. « Un attaquant situé à proximité peut se connecter à un appareil vulnérable via bluetooth non authentifié et injecter des séquences de touches pour, par exemple, installer des applications, exécuter des commandes arbitraires, transférer des messages, etc. ». Le chercheur précise par ailleurs que l'exploit de cette faille (CVE-2023-45866) ne nécessite pas de matériel spécialisé et peut être réalisée à partir d'un ordinateur Linux utilisant un adaptateur bluetooth normal.
Des correctifs disponibles à installer sans attendre
Cette faille rend vulnérables des millions de terminaux aussi bien Android (tout particulièrement les smartphones Google Pixel 7 tournant sur Android 14, Pixel 6 et 4a 5G sur Android 13...), les systèmes tournant sur Ubuntu 18.04, 20.04, 22.04 et 23.10, ou encore macOS (MacBook Pro 2022 sous macOS 13.3.3 et MacBook Air 2017 sous macOS 12.6.7) ainsi qu'iOS (iPhone SE sous iOS 16.6). Toutes ces failles ont été rapportées aux fournisseurs impactés durant l'été 2023 et tous ont procédé à des correctifs depuis début décembre. Il est donc très fortement recommandé d'appliquer les dernières mises à jour système pour tous ces terminaux. A noter que la faille touche aussi les terminaux Android tournant sur Android 4.2.2-10 mais qu'il n'existe pas à ce jour (et sans doute jamais sauf miracle) de patch. « Les correctifs pour ces problèmes qui affectent Android 11 à 14 sont disponibles pour les équipementiers concernés. Tous les appareils Pixel actuellement pris en charge recevront ce correctif via les mises à jour OTA de décembre », a confirmé Google.
« Les vulnérabilités fonctionnent en trompant l'état-machine de l'hôte Bluetooth pour qu'il s'apparie avec un faux clavier sans confirmation de l'utilisateur », a expliqué Keyboard. « Le mécanisme sous-jacent d'appairage non authentifié est défini dans la spécification Bluetooth, et des bogues spécifiques à l'implémentation l'exposent à l'attaquant ». Les terminaux non corrigés sont vulnérables dans les conditions suivantes : pour ceux sous Android dès que la fonction Bluetooth est activée, ceux sous Linux/BlueZ exigent que le bluetooth puisse être découvert/connecté. Et s'agissant d'iOS et de macOS c'est quand le bluetooth est activé et qu'un Magic Keyboard a été couplé avec le téléphone ou l'ordinateur que la vulnérabilité est effective. « Les vulnérabilités peuvent être exploitées à partir d'un ordinateur Linux utilisant un adaptateur Bluetooth standard. Une fois que l'attaquant a couplé le téléphone ou l'ordinateur cible, il peut injecter des frappes pour effectuer des actions arbitraires en tant que victime, à condition que ces actions ne nécessitent pas de mot de passe ou d'authentification biométrique », précise encore le chercheur en sécurité.
Commentaire