Des chercheurs viennent de publier une liste de vulnérabilités via Bluetooth qui touche pratiquement tous les types de périphériques (Windows, Linux, Android, iOS).
BlueBorne, en particulier, permet d’accéder aux données, d’installer un logiciel (malware par exemple) ou d’atteindre d’autres périphériques via Bluetooth et de se diffuser ainsi. Et ceci sans aucune interaction de l’utilisateur : il n’est pas nécessaire de cliquer sur un lien ou de recevoir un courriel contenant un malware. Il n’est même pas nécessaire que le périphérique soit en mode « Découvrable via Bluetooth » ou qu’une liaison Bluetooth ait été faite à un moment (pairing).
Dans les grandes lignes, on peut noter que :
- les iPhones & iPad qui utilisent une version 10.x ou plus récente de iOS ne sont pas vulnérables
- Androïd avec une version antérieure à Marshmallow (6.x) est vulnérable et il n’y aurait à priori pas de correctif possible ; un correctif pour les versions plus récentes semble disponible depuis le 4 septembre 2017
- toutes les versions de Windows depuis Vista sont vulnérables. Microsoft a publié une liste de correctifs (https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-8628) le 11 juillet 2017
- toutes les versions de Linux depuis la 3.3-rc1 (octobre 2011) et celles qui utilisent BlueZ sont vulnérables et les correctifs ne devraient plus tarder à être disponibles
Armis note par exemple que certains réfrigérateurs « intelligents » chez Samsung embarquent une version de Linux (Tizen OS) qui est vulnérable et devront aussi être mis à jour.
Bien qu’avoir son réfrigérateur piraté ne soit pas forcément effrayant au premier abord, c’est en réalité assez sérieux. Les hackers sont toujours à la recherche de cibles pour construire leurs botnets dont ils peuvent se servir pour déclencher des attaques DDoS de grande ampleur. Un réfrigérateur infecté n’est pas très utile, mais lorsqu’il y en a 100’000, la puissance de feu devient considérable. L’importance de la sécurité des IoT fera d’ailleurs l’objet d’un prochain article.
Les développeurs des systèmes d’exploitation ont tous été contactés plus tôt cette année (Google, Microsoft, Linux, Apple, Samsung et la communauté Linux) afin de leur laisser le temps d’analyser les failles et de préparer les correctifs nécessaires. La diffusion publique a ensuite été coordonnée entre tous les intervenants (du moins ceux qui ont répondu car Armis rapporte que Samsung n’a pas réagit) pour le 12 septembre 2017.
A vos mises à jour !