Les chercheurs en sécurité Tristan Claverie et José Lopes Esteves, de l’ANSSI, ont trouvé une série de six failles dans la technologie Bluetooth permettant à un pirate d’usurper l’identité d’un appareil et d’intercepter des échanges. Ces failles sont numérotées CVE-2020-265555 à CVE-2020-265560.
Deux de ces failles concernent le standard Bluetooth Core et les quatre autres le standard Bluetooth Mesh. Baptisées « BlueMirror », ces attaques seront détaillées demain, 27 mai, lors de la conférence WOOT 2021. Contrairement à ce qui a été relayé dans certains articles, ces failles ne sont pas liées au papier « Bluetooth Impersonation Attacks (BIAS) », qui a été publié il y a un an.
A découvrir aussi en vidéo :
Six fournisseurs ont été confirmés comme étant vulnérables, dont Android, Cisco, Intel et RedHat. Le consortium Bluetooth a diffusé des recommandations d’implémentation permettant de limiter, voire de supprimer le risque lié à ces failles. Concernant Android, un patch sera diffusé prochainement.
Source : Carnegie Mellon
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.