Des chercheurs de Singapour disent avoir trouvé des failles de sécurité dans plus de 480 appareils Bluetooth, y compris des gadgets pour la maison intelligente, bracelets de fitness et instruments médicaux. Les vulnérabilités, qui ont été trouvés dans les kits de développement de logiciels Bluetooth Low Energy (BLE), pourrait provoquer des plantages ou permettre aux pirates d'accéder en lecture/écriture aux appareils.

Surnommé Sweyntooth, la collection de 12 exploits pourrait finalement affecter tous les principaux fournisseurs, y compris Texas Instruments, Semi-conducteurs de dialogue, STMicroélectronique, Puce électronique, NXP, Cypress et Telink Semiconductor.

Des chercheurs de l'Université de technologie et de design de Singapour ont nommé plusieurs des centaines d'appareils potentiellement vulnérables. Ils comprenaient la montre connectée Fitbit Inspire; Les appareils intelligents d'Eve Systems qui gèrent les serrures de porte, interrupteurs, thermostats et détection de mouvement; August Smart Lock pour les systèmes d'entrée à domicile ; CubiTag pour le suivi de biens tels que des valises ou des vélos ; et eGee Touch, une serrure à bagages intelligente.

L'équipe de recherche a informé les fournisseurs des bogues, et de nombreux fabricants ont déjà conçu des correctifs pour les kits de développement logiciel. Certains appareils mettent automatiquement à jour leur firmware, mais un défi clé sera de s'assurer que les consommateurs qui possèdent des appareils nécessitant des mises à jour manuelles sont alertés des vulnérabilités et installent les correctifs requis.

La seule bonne nouvelle est que la menace ne peut pas être lancée sur Internet. Les pirates potentiels doivent se trouver à proximité immédiate de l'utilisateur.

Mais une catégorie d'appareils est particulièrement préoccupante. « Les appareils les plus critiques qui pourraient être gravement touchés par Sweyntooth sont les produits médicaux, ", indique le rapport de Singapour.

Parmi les appareils de santé reposant sur la connectivité Bluetooth figurent les stimulateurs cardiaques, glucomètres et dispositifs d'administration de médicaments.

Les chercheurs ont répertorié trois catégories principales d'agressions potentielles contre les appareils grand public. Ce sont des attaques qui font planter des appareils, attaques qui redémarrent les appareils et les forcent dans un état de blocage, et les attaques qui remplacent les fonctionnalités de sécurité et le contrôle des appareils aux pirates. Les chercheurs considèrent que la dérogation est la plus grave des menaces.

Le protocole BLE est utilisé par les appareils sans fil pour limiter la consommation d'énergie.

Il est intéressant de noter que Bluetooth a été nommé d'après le roi danois du 10ème siècle Harald Bluetooth, qui a aidé à guérir les divisions entre les tribus scandinaves se quereller. C'est ce sentiment de rapprocher les deux côtés qui a conduit les développeurs de ce qu'on appelle maintenant Bluetooth, un protocole sans fil connectant en douceur les appareils, pour sélectionner ce nom. Des chercheurs avisés de Singapour savaient que les historiens croient que le fils du roi Bluetooth, Sweyn Forkbeard, a destitué de force son père du trône, et a donc choisi le nom « Sweyntooth » pour cette menace numérique nouvellement découverte.

© 2020 Réseau Science X