Six failles viennent d’être révélées dans les standards Bluetooth Core et Bluetooth Mesh. Elles affectent notamment le système d’exploitation Android.
Les chercheurs en sécurité Tristan Claverie et José Lopes Esteves, de l’ANSSI, ont trouvé une série de six failles dans la technologie Bluetooth permettant à un pirate d’usurper l’identité d’un appareil et d’intercepter des échanges. Ces failles sont numérotées CVE-2020-265555 à CVE-2020-265560.
Deux de ces failles concernent le standard Bluetooth Core et les quatre autres le standard Bluetooth Mesh. Baptisées « BlueMirror », ces attaques seront détaillées demain, 27 mai, lors de la conférence WOOT 2021. Contrairement à ce qui a été relayé dans certains articles, ces failles ne sont pas liées au papier « Bluetooth Impersonation Attacks (BIAS) », qui a été publié il y a un an.
Six fournisseurs ont été confirmés comme étant vulnérables, dont Android, Cisco, Intel et RedHat. Le consortium Bluetooth a diffusé des recommandations d’implémentation permettant de limiter, voire de supprimer le risque lié à ces failles. Concernant Android, un patch sera diffusé prochainement.
source : 01net