Armis Labs a lancé une alerte sur l'existence d'un vecteur d'attaque utilisant le protocole réseau Bluetooth susceptible de concerner n'importe quel terminal connecté, représentant la bagatelle de 8,2 milliards d'appareils dans le monde. Tous les systèmes d'exploitation sont concernés, de Windows à Linux en passant par Android et iOS. Baptisée BlueBorne, cette typologie d'attaque n'emploie pas de lien URL et n'utilise pas de téléchargement pas plus que l'appairage Bluetooth pour connecter, prendre le contrôle et accéder à des systèmes critiques, et répandre du malware. Non détectable par l'utilisateur, cette vulnérabilité touche aussi bien les portables, les smartphones, que les tablettes, les ordinateurs que les bracelets et les montres connectées. Elle permet de diffuser des malwares en passant de terminal en terminal via Bluetooth.
Le cabinet Armis Labs a également découvert 8 vulnérabilités zero-day, dont 4 critiques, permettant à des attaquants de prendre le contrôle des terminaux, accéder à des données et pénétrer des réseaux pour répandre des malwares. Selon la société, beaucoup d'autres vulnérabilités seraient sur le point d'être trouvées sur différentes plateformes utilisant Bluetooth. La vulnérabilité BlueBorne fonctionne de façon similaire à deux autres précédemment découvertes dans la puce WiFi Broadcaom par Project Zero et Exodus. « Ces vulnérabilités trouvées dans les puces WiFi affectaient seulement les périphériques du terminal, et nécessitent une autre étape pour la prise de contrôle, tandis qu'avec BlueBorne, les attaquants peuvent prendre le contrôle total dès le départ », indique Armis Labs. En outre, le cabinet alerte sur la surface d'attaque du Bluetooth, largement supérieure à celle du WiFi.
Une pluie de correctifs et de mises à jour
Les précédentes vulnérabilités liées à Bluetooth avaient jusqu'à présent été résolues avec la mise à jour du protocole lui-même dans sa version 2.1 en 2007. Depuis, les failles trouvées n'avaient pas été sévères et ne permettaient pas l'exécution de code distant ce qui n'est plus le cas à présent. Armis Labs a prévenu plusieurs fournisseurs dont Google, Microsoft, Apple, Samsung ainsi que la communauté Linux, qui ont chacun fait le nécessaire - entre avril et septembre 2017 - pour pousser des mises à jour de sécurité. « Nous recommandons aux utilisateurs de regarder le dernier bulletin de sécurité pour une information plus précise. Les utilisateurs Android devraient vérifier qu'ils disposent du dernier patch de sécurité daté du 9 septembre », indique Armis Labs. Un patch qui concerne les terminaux sous Nougat et Marshmallow (CVE-2017-0785, CVE-2017-0781 et CVE-2017-0782 ). Concernant Windows, tous les terminaux depuis Vista sont touchés (CVE-2017-8628)et un patch de sécurité spécifique a été proposé. Les terminaux Linux ne sont pas épargnés (CVE-2017-1000251 et CVE-2017-1000250 ), pas plus que les appareils iOS sous iOS 9.3.5 (CVE-2017-14315), mais ceux sous iOS 10 ne craignent plus rien.