Des chercheurs de l'ANSSI ont découvert 7 vulnérabilités dans les spécifications Bluetooth Core et Mesh Profile susceptibles d'exposer de nombreux appareils à des tentatives d'usurpation d'identité et d'attaques par l'homme du milieu (MITM), relève SecurityWeek.

Les failles de sécurité, qui ne semblent pas faciles à exploiter, ont été détaillées dans des avis publiés ce lundi par le CERT Coordination Center (CERT/CC) de l'Université Carnegie Mellon ainsi que par le Bluetooth Special Interest Group (SIG), l'organisation qui supervise le développement des normes Bluetooth.

Six organisations au moins seraient affectées : le projet Android Open Source (AOSP), Cisco, Cradlepoint, Intel, Microchip Technology et Red Hat. Deux douzaines de fournisseurs auraient confirmé ne pas être concernés. 200 autres fournisseurs, alertés en décembre dernier, n'ont toujours pas répondu et sont donc affublés du statut « inconnu » dans l'avis du CERT/CC.

Les fournisseurs concernés disent travailler sur des correctifs. Dans le cas d'Android, le système est affecté par trois des vulnérabilités, mais seules deux seront corrigées avec les mises à jour à venir, la troisième ayant un impact de sécurité négligeable, selon AOSP.

Étrangement, ni l'ANSSI ni le CERT n'ont communiqué à ce sujet. On ne saura donc pas, en l'état, si ces failles auraient été découvertes à l'occasion, ou en marge, des recherches effectuées par l'ANSSI autour de la sécurité de l'application TousAntiCovid.