•  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  

Des milliards d’appareils Bluetooth piratables en quelques secondes

Le logo de Bluetooth stylisé en plusieurs points de lumière reliés entre eux sur fond noir.

La meilleure chose à faire pour se prémunir contre une attaque exploitant la faille BlueBorne est de désactiver Bluetooth sur ses appareils.

Photo : iStock

Radio-Canada

Environ 8,2 milliards d'appareils, dont des téléphones, des ordinateurs et des téléviseurs, sont susceptibles d'être piratés en quelques secondes en raison d'une vulnérabilité du protocole Bluetooth, a découvert la firme de sécurité informatique Armis. La meilleure façon de vous prémunir contre cette attaque? Désactivez Bluetooth. Explications.

Un texte de Karl-Philip Vallée

Baptisée BlueBorne, la faille détectée par Armis permet à un pirate de prendre le contrôle de n’importe quel appareil dont la fonctionnalité Bluetooth est activée, qu’il soit connecté à Internet ou non. Contrairement aux attaques les plus répandues, il n'est pas nécessaire de télécharger un logiciel malveillant ou de cliquer sur un lien pour être exposé à cette menace.

« Ça ne requiert pas d’intervention de l'utilisateur », explique Jean-Philippe Décarie-Mathieu, cofondateur et directeur général de Crypto.Québec, un média indépendant spécialisé en sécurité informatique. « Il suffit que le service Bluetooth soit activé sur son appareil pour que celui-ci soit potentiellement vulnérable à une attaque. »

Dans une démonstration d’Armis, un pirate arrive à s’infiltrer dans un téléphone Google Pixel en quelques secondes, à le déverrouiller, puis à prendre une photo de son propriétaire. La photo est ensuite transmise à l’ordinateur du pirate. Dans ce cas précis, l’écran du téléphone s’allume pendant l’attaque, mais il n’en va pas nécessairement de même pour d’autres appareils.

Selon la firme de sécurité, les attaques menées par le biais de BlueBorne sont particulièrement perfides, puisqu’elles sont virtuellement invisibles pour la victime. À moins que le pirate ne choisisse d’installer un rançongiciel (un logiciel qui bloque l’appareil et qui exige une rançon pour le débloquer) ou un autre programme du genre, rien ne laisse soupçonner que l’appareil est infiltré, dans la plupart des cas.

Un effet exponentiel

Une attaque peut même se répandre automatiquement d’un appareil à un autre, tant que ceux-ci sont à une distance qui leur permet de communiquer par Bluetooth. Un piéton ou un automobiliste pourrait donc infecter la plupart des appareils autour de lui, simplement en se déplaçant pour aller travailler. Les appareils infectés poursuivraient l’infection autour d’eux, avec un effet exponentiel.

Tout appareil dont la fonction Bluetooth est activée est donc susceptible d’être touché par cette attaque. Cela inclut entre autres ceux qui fonctionnent avec Android, iOS, Windows et Linux, mais aussi ceux qui utilisent des logiciels propriétaires, comme les téléviseurs intelligents ou même les appareils médicaux connectés. Armis a d’ailleurs mis en ligne une application permettant aux utilisateurs d’appareils Android de savoir si leur appareil est vulnérable ou non.

Les grandes entreprises étaient déjà prévenues

La firme a indiqué avoir communiqué antérieurement avec les grands fabricants, qui travaillent déjà à régler cette faille. Plusieurs d’entre elles ont envoyé des mises à jour à leurs utilisateurs, mais celles-ci ne couvrent pour la plupart que les versions les plus récentes des logiciels d’exploitation.

Il est important de noter que Samsung n’a pas répondu à l’appel d’Armis et qu’il n’existe pas de mise à jour connue provenant de ce fabricant.

Les appareils plus vieux ou ceux qui ne sont pas mis à jour régulièrement par leurs utilisateurs restent donc vulnérables, comme l’explique Jean-Philippe Décarie-Mathieu.

Le problème, c’est de croire que les gens vont faire la mise à jour.

Jean-Philippe Décarie-Mathieu, cofondateur et directeur général de Crypto.Québec

« Ce ne sont pas tous les systèmes qui sont faciles à mettre à jour, précise M. Décarie-Mathieu. Pour un poste de travail, c’est simple, mais la difficulté se trouve du côté des appareils qui fonctionnent avec une intégration de Linux ou du côté des plus petits appareils comme les webcams ou les appareils médicaux. Si la compagnie ne sort pas de mise à jour rapidement ou si elle le fait, mais qu’on ne sait pas comment mettre à jour son appareil, qu’est-ce qu’on peut faire? »

Pourquoi ne pas avoir alerté le public si la faille était déjà connue?

La publication de mises à jour pour combler cette faille a débuté il y a déjà plusieurs semaines, voire il y a quelques mois dans certains cas, ce qui laisse présumer que les géants de l’informatique avaient été mis au courant avant le grand public.

Pourquoi ne pas avoir averti les utilisateurs vulnérables? Selon Jean-Philippe Décarie-Mathieu, il s’agit d’une pratique courante dans le milieu des « white hats », les gentils pirates (incluant les firmes de sécurité informatique).

« Armis a bien suivi le principe de la divulgation responsable, constate M. Décarie-Mathieu. En sécurité informatique, d’un point de vue éthique, c’est bien vu de prévenir d’abord les fabricants lorsqu’on découvre une faille qui peut nuire à beaucoup de personnes. Un certain temps après, c’est aussi bien vu d’expliquer publiquement comment la faille est arrivée et comment on l’a comblée pour ajouter ces informations aux connaissances générales en sécurité informatique. »

Pour cet expert, cette vulnérabilité est le fruit de la complexité du protocole Bluetooth lui-même. « Bluetooth est un protocole extrêmement lourd et complexe en comparaison avec un protocole comme le wi-fi, par exemple, indique M. Décarie-Mathieu. Ça rend les audits de sécurité très difficiles. »

Jean-Philippe Décarie-Mathieu souligne d’ailleurs que la firme Armis s’attend à ce que d’autres failles similaires soient découvertes dans le futur.

Internet

Techno