Il y a quelques semaines, une startup californienne, Armis, a annoncé avoir découvert huit failles dans le protocole Bluetooth, susceptibles de mettre en danger des milliards de machines et mobiles, hors version Bluetooth Low Energy.

Bluetooth reste actuellement l’un des protocoles les plus utilisés sur nos machines, souvent sans que nous nous en rendions compte, pour connecter une souris, pour nous brancher depuis un smartphone sur un PC, etc. Et ce sera encore plus le cas demain, avec la montée en puissance de Bluetooth 5, qui vient se positionner sur les plates-bandes des protocoles basses consommation LowPAN, pour connecter les objets et capteurs au système d’information.

La startup Armis a regroupé les failles sous une identité commune BlueBorne, contraction de Bluetooth et AirBorne, par référence à des attaques pouvant être lancées « par les airs ».

Ce qui est inquiétant, c’est que les failles détectées peuvent être exploitées à distance, sans que l’attaquant soit présent dans le même réseau que ses victimes, dans le cadre d’une attaque de type « Man in the Middle » par exemple.

De cette manière, les attaquants, selon Armis, pourraient constituer de vastes botnets avec les machines vulnérables et concentrer leurs efforts pour attaquer d’autres cibles, le tout évidemment à l’insu des propriétaires des machines incriminées.

La simple présence de terminaux Bluetooth suffirait pour transporter les malwares exploitant les failles détectées par Armis. De quoi être inquiet… et découragé.

 

Selon Armis, c’est Android de Google qui serait le plus vulnérable, touché par quatre des huit failles recensées, dont deux permettent d’exécuter du code à distance, référencées sous les dénominations CVE-2017-0781 et CVE-2017-0782, une autre pour la fuite de données (CVE-2017-0785) et une quatrième dédiée aux attaques « Man in the Middle ».

Pour sa diffusion, les malwares pourraient utiliser le mode de propagation Mesh de Bluetooth, les terminaux constituant un réseau maillé et toute machine appartenant à ce réseau, constituerait « de facto » un relais pour les transporter et contaminer les terminaux d’une entreprise, les clients d’une banque dont l’un des clients est touché, etc. Grâce au mécanisme Mesh, il ne faudrait pas longtemps pour que toute la planète soit contaminée.

Tout cela s’est passé en août et septembre 2017 et Google a publié un patch très rapidement.

Quant à Armis, il affirme collaborer avec les différents éditeurs concernés, car il n’y a pas que Google, Microsoft, par exemple, pour mettre au point le plus vite possible les antidotes indispensables.

Au moins, ni Google, ni Microsoft, ne lui ont reproché ses introspections…

Il est vrai que le danger est important, car d’après Armis, c’est plus de 5 milliards de terminaux qui seraient concernés.

On n’a encore rien vu

D’une manière générale, on se rend compte que tous les appareils, connectables à un réseau et pas seulement via Bluetooth, pourraient servir de base à des attaques coordonnées par un botnet. On l’a vu avec OVH et l’énorme attaque DDoS de plus d’1 Tbps, initiée par des caméras numériques connectées à Internet. Mais cela pourra aussi être le cas avec des montres intelligentes, des lunettes, pourquoi pas le pacemaker numérique, lui-aussi connecté à des moyens de transport sans fil.

C’est vraiment inquiétant et montre que les vraies difficultés sont encore devant nous, sans que l’on sache vraiment comment anticiper et se protéger.

Il y a quand même un élément dont on n’est à peu près sûr, c’est que les techniques de protection en cours aujourd’hui sont totalement impuissantes et qu’il faut impérativement passer à des moyens beaucoup plus sophistiqués, ce qu’IBM appelle la sécurité cognitive.