Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Bluetooth : une importante faille (BIAS), une mise à jour de la norme est en cours

Bluetooth : une importante faille (BIAS), une mise à jour de la norme est en cours

Le 20 mai 2020 à 09h34

L’équipe de chercheurs rappelle que « la norme Bluetooth fournit des mécanismes d’authentification basés sur des clés d’appariement à long terme, qui sont conçus pour protéger contre les attaques d’usurpation d’identité ». Problème, avec BIAS (CVE-2020-10135) ce mécanisme peut être cassé et un pirate peut usurper l'identité d’un périphérique associé. Tous les détails techniques et une vidéo sont disponibles ici.

Selon les chercheurs, « tout appareil conforme aux normes Bluetooth peut être vulnérable ». « Nous avons mené des attaques BIAS sur plus de 28 puces Bluetooth différentes (en attaquant 30 appareils). Au moment d’écrire ces lignes, nous avons pu tester des puces de Cypress, Qualcomm, Apple, Intel, Samsung et CSR. Tous les appareils que nous avons testés étaient vulnérables à l’attaque BIAS », ajoutent-ils.

Les détails de cette attaque ont été dévoilés de manière responsable en décembre, certains fabricants ont donc pu déployer des mises à jour entre temps. Pour faire simple : « si votre appareil n’a pas été mis à jour depuis décembre 2019, il est probablement vulnérable ».

De son côté, le Bluetooth Special Interest Group (Bluetooth SIG) confirme la dangerosité de la faille et précise travailler à un correctif, qui passera par une mise à jour de la norme Bluetooth. En attendant, il donne des recommandations aux fabricants pour limiter les risques

Le 20 mai 2020 à 09h34

Commentaires (4)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Que ça ai une incidence ou non, c’est vraiment ballot pour la communication des états s’apprêtant à déployer des dispositifs de suivi des identités des personnes via cette technologie de découvrir une faille importante d’usurpation d’identité.

votre avatar

L’autre video plus détaillée et le papier sont dispos sur https://francozappa.github.io/project/bias/ 

Ca a l’air “relativement” simple et clean. Il faut pouvoir communiquer avec le périphérique bluetooth et l’hôte avant de pouvoir se faire passer pour l’un ou l’autre, mais ça marche d’après eux quasiment partout (windows/android/linux) car ils se basent sur le standard bluetooth.

votre avatar

Et l’appli sécurisée StopCovid, elle en est où au fait ? <img data-src=" />

votre avatar







Ricard a écrit :



Et l’appli sécurisée StopCovid, elle en est où au fait ? <img data-src=" />





Patience, moi et mon équipe ont est en train de bosser dessus !



Pour le moment ont galère pas mal alors qu’ont utilise un seul samsung galaxy s10 avec la dernière mise à jours et une capteur DIY multicanal posé en plein milieu de la pièce sur un trepied à hauteur d’épaule.



Le problème c’est que quand gérard met son téléphone dans sa poche de jean il émet un signal de 40 db si tourné vers l’extérieur mais seulement 30 db si vers l’intérieur.&nbsp; Quand à moi avec ma coque c’est du 20 / 10 db et en plus mon jean est plus épais que celui de gégé. Quand à charlotte c’est du 10 / 2 db lorsque le téléphone est dans son sac.



Pour le moment le seul cas ou les résultats sont probant c’est quand le téléphone est autour du cou et ce peut importe le côté car le téléphone possède un capteur de proximité. Du coup il est possible de savoir de quel côté il est porté et d’envoyer l’information dans le signal BT.



Demain ont à prévu de faire un test avec deux téléphones ( S10 & S9 ) et ont sera probablement obligé d’envoyer le modèle qui emet dans le signal BT.



Par contre ont à pas trop d’idée à propos des téléphone plus ancien genre S6 car ont ne plus plus les mettre à jours. La seule possibilité étant de rajouter le numéro de l’os dans le signal BT.







Mais entre nous, plus ont passe de temps sur cette application et plus ont ce rend compte que c’est quasiment impossible, et que la seule possibilité pour avoir des résultat viable sera de porter un appareil spécifique autour du cou.

&nbsp;


Bluetooth : une importante faille (BIAS), une mise à jour de la norme est en cours

Fermer