Des chercheurs de l'Institut israélien de technologie ont identifié une vulnérabilité (CVE-2018-5383) en matière de sécurité dans deux caractéristiques Bluetooth qui pourrait permettre à un attaquant d'intercepter ou d'altérer les données échangées entre deux dispositifs vulnérables. Il s’agit plus précisément des fonctionnalités Jumelage simple sécurisé et les connexions LE Secure. Les chercheurs ont identifié que la spécification Bluetooth recommande, mais n'exige pas, qu'un appareil prenant en charge les fonctions Secure Simple Pairing ou LE Secure Connections valide la clef publique (elliptic-curve Diffie-Hellman ou ECDH) reçue par voie hertzienne lors de l'appairage avec un nouvel appareil. Il est possible que certains fournisseurs aient développé des produits Bluetooth qui prennent en charge ces fonctions, mais qui n'effectuent pas de validation de clef publique pendant la procédure de couplage. Dans de tels cas, les connexions entre ces dispositifs pourraient être vulnérables à une attaque dite man-in-the-middle qui permettrait de surveiller ou de manipuler le trafic.
Pour qu'une attaque de ce type soit réussie, un dispositif d'attaque doit être à portée sans fil de deux dispositifs Bluetooth vulnérables qui passent par une procédure de couplage. Le dispositif attaquant devrait intercepter l'échange de clefs publiques en bloquant chaque transmission, en envoyant un accusé de réception au dispositif d'envoi, puis en injectant le paquet malveillant au dispositif de réception dans une fenêtre temporelle étroite. Si un seul appareil présentait la vulnérabilité, l'attaque ne serait pas possible.
Les principaux fournisseurs touchés
Apple, Broadcom et Intel ont tous confirmé la faille, et les deux premiers ont déjà publié des correctifs. Les composants de Qualcomm sont également répertoriés comme étant affectés dans l'avis du CERT/CC, tandis que les implications - par rapport à la vulnérabilité - pour les plateformes Android et toutes celles exploitant un noyau Linux restent à déterminer.
Pour remédier à cette vulnérabilité, le Bluetooth SIG a mis à jour la spécification Bluetooth pour exiger des produits qu'ils valident toute clef publique reçue dans le cadre des procédures de sécurité à clef publique. Le SIG Bluetooth indique qu'il n'y a aucune preuve que la vulnérabilité a été exploitée de manière malveillante et qu'aucun dispositif mettant en œuvre l'attaque n'a été développé, y compris par les chercheurs israéliens qui ont identifié la vulnérabilité.