BlueBorne : huit failles critiques dans le Bluetooth, des correctifs déjà déployés

Un important lot de failles 0-day a été découvert dans l'implémentation du protocole Bluetooth. L’exploitation peut mener à de nombreuses attaques, dont la prise de contrôle et le vol d’informations. Les premiers correctifs sont déjà déployés, mais tous les utilisateurs ne seront pas servis.

Les huit vulnérabilités ont été découvertes par les chercheurs de la société Armis. Elles peuvent toucher un potentiel de 5,3 milliards d’appareils, un chiffre estimé par l’entreprise. Windows, Linux, Android et iOS sont touchés, puisque les brèches concernent l'implémentation du protocole Bluetooth (toutes versions confondues).

Les chercheurs ont créé une attaque nommée BlueBorne, dont le nom est repris un peu partout pour désigner finalement le lot de failles. La société de sécurité explique dans son rapport que cette attaque a le pouvoir d’engendrer de vraies catastrophes : les utilisateurs ne peuvent rien y faire tant que les correctifs ne sont pas déployés. À part bien sûr désactiver le Bluetooth.

Peu de limites aux attaques potentielles

C’est en effet la seule condition vraiment obligatoire pour que l’attaque réussisse : le Bluetooth doit être activé. Pour le reste, tout ce que l’éventuel pirate a à faire, c’est d’être suffisamment proche de la victime (maximum de 10 m) pour que le Bluetooth soit exploitable. À partir de là il est possible de déclencher une attaque de l’homme du milieu, ou de prendre le contrôle de l’appareil.

Si des pirates se penchent sur les spécificités de chaque implémentation, ils seront également en mesure de créer un ver à partir du code de l’attaque. Traduction, cette dernière peut être automatisée. Armis affirme que leurs tests leur ont permis de mettre en place un botnet, c’est-à-dire un parc d’appareils zombies obéissant aux commandes distribuées par un serveur. On connait le potentiel destructeur de ces botnets, comme l’attaque contre Dyn l’avait montré.

Armis ajoute que les chercheurs ont pu utiliser BlueBorne pour distribuer automatiquement un ransomware sur les machines infectées. Un scénario qui rappelle largement WannaCrypt : une exploitation de faille menant à une distribution semi-automatisée d’un ransomware. Avec la pagaille que l’on connait dans les entreprises, administrations et autres structures, particulièrement le système anglais de santé.

Ransomware, vol de données, espionnage, botnets et prise de contrôle sont donc au programme. Ben Seri, directeur de recherche chez Armis, estime cependant qu’il sera complexe de créer un ver capable d’automatiser intégralement le processus, à savoir chercher des appareils exploitables, disposer d’un code adapté pour chaque plateforme et lancer l’infection. Difficile, mais pas impossible. D’autant que BlueBorne permet de franchir dans certains cas les « air gaps », c’est-à-dire les machines déconnectées de tout réseau par sécurité, mais où le Bluetooth a été laissé activé (pour une souris ou un clavier par exemple).

Les failles sont classées par plateforme :

• Android : CVE-2017-0781, CVE-2017-0782, CVE-2017-0783 et CVE-2017-0785
• Linux : CVE-2017-1000251 et CVE-2017-1000250
• iOS : CVE en cours
• Windows : CVE-2017-8628

Où sont les correctifs ?

Armis précise dans son rapport qu’Apple, Google, Microsoft, Samsung ou encore la Linux Foundation ont été prévenus le mois dernier. Tous ont déjà réagi… ce qui ne signifie malheureusement pas que tout le monde soit protégé. Loin de là.

Côté Microsoft, toute version à jour de Windows est protégée contre l’exploitation de BlueBorne. Le correctif a en effet été déployé avec le Patch Tuesday de juillet. Windows 10 Mobile n'est pas concerné.

Chez Apple, il faut avoir au moins iOS 10 pour être à l’abri. Tout iPhone ou iPad sous iOS 9.3.5 ou une mouture antérieure est par contre exposé, ce qui pose la question évidemment des anciens appareils (11 % selon les statistiques d'Apple). Pour les Mac, Apple a déployé un correctif depuis longtemps. Seules les (très) anciennes machines qui n'ont plus droit à des mises à jour sont donc potentiellement touchées.

Mais comme souvent, c’est sur Android que la menace pèse le plus lourdement. Tout smartphone ou tablette ne disposant pas au minimum de Marshmallow (Android 6.X) est vulnérable. Certes le système est sorti à la fin de l’été dernier, mais on connait la vitesse à laquelle une nouvelle version majeure se répand dans le parc existant. Si l’on en croit les derniers chiffres publiés par Google, 52 % des appareils (se connectant au moins une fois par mois au Play Store) sont vulnérables. Armis a d’ailleurs publié une application pour détecter la présence des failles.

Cependant, même si les utilisateurs ont une version récente du système, ce ne sera encore pas suffisant dans de nombreux cas. Les correctifs n’ont été transmis aux constructeurs que le mois dernier, et il faut donc le temps qu’ils soient digérés par chacun avant de les déployer sur les appareils.

Côté Linux, la situation est très variable. Toutes les principales distributions sont averties du problème et y travaillent (Red Hat, Debian, Canonical, ArchLinux, Suse, ...). Les correctifs, s'ils ont lieu d'être, devraient être disponibles dans les prochains jours.

Objets connectés : le grand flou

Les ordinateurs, smartphones et tablettes ne sont pas les plus à plaindre. Les objets connectés représentent en effet un immense réservoir d’appareils dont la gestion des mises à jour est, trop souvent, très mauvaise.

Nous avons à de multiples reprises pointé les graves manquements des constructeurs avec des produits lancés sur le marché sans posséder la plus élémentaire des protections. C’est ce manque d’entretien qui a permis à des malwares comme Mirai de prospérer. On se souvient plus récemment du cas de Foscam, véritable livre blanc de tout ce qu’il faut éviter en sécurité.

Durant les dernières Rencontres mondiales du logiciel libre, Laurent Chemla, de la Quadrature du Net, nous expliquait ainsi que le recours à Linux n’était en rien une garantie de sécurité. La plupart des constructeurs choisissent en effet une version particulière du noyau pendant la phase de conception, mais qui n’est plus à jour à la sortie du produit. Sans politique d’entretien dans de nombreux cas, la liste des failles connues s’allonge, comme pour n’importe quel système d’exploitation.

La situation est d’autant plus sérieuse selon Armis que de nombreux systèmes Linux n’utilisent pas l’ASLR, qui permet de changer aléatoirement les emplacements en mémoire des composants critiques. Les attaques par exécution de code ont donc plus de facilités à se produire. Dans le cas où cette protection est présente, elle peut également être contournée dans certains cas. L’entreprise y est parvenue sur Android.

Que faire pour se protéger ?

La réponse est simple : vérifier la présence de mises à jour sur son appareil, quel qu’il soit. Une solution qui n’a rien de spécifique, les correctifs de sécurité devant toujours être installés en priorité. L’exploitation des failles est devenue graduellement avec les années une course contre la montre, chaque vulnérabilité « intéressante » pouvant faire l’objet d’un véritable trafic. Des sociétés comme Zerodium se sont d’ailleurs fait une spécialité de leur acquisition et de leur revente.

Si aucun correctif n’est disponible, il est recommandé de couper le Bluetooth aussi souvent que possible. Les risques sont plus limités dans certains scénarios, comme l’utilisation dans une voiture pour les appels ou l’écoute de la musique. Le risque zéro, bien sûr, n’existe pas.