Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !
Bluetooth : une importante faille (BIAS), une mise à jour de la norme est en coursCrédits : icon river/iStock

L’équipe de chercheurs rappelle que « la norme Bluetooth fournit des mécanismes d’authentification basés sur des clés d’appariement à long terme, qui sont conçus pour protéger contre les attaques d’usurpation d’identité ». Problème, avec BIAS (CVE-2020-10135) ce mécanisme peut être cassé et un pirate peut usurper l'identité d’un périphérique associé. Tous les détails techniques et une vidéo sont disponibles ici.

Selon les chercheurs, « tout appareil conforme aux normes Bluetooth peut être vulnérable ». « Nous avons mené des attaques BIAS sur plus de 28 puces Bluetooth différentes (en attaquant 30 appareils). Au moment d’écrire ces lignes, nous avons pu tester des puces de Cypress, Qualcomm, Apple, Intel, Samsung et CSR. Tous les appareils que nous avons testés étaient vulnérables à l’attaque BIAS », ajoutent-ils.

Les détails de cette attaque ont été dévoilés de manière responsable en décembre, certains fabricants ont donc pu déployer des mises à jour entre temps. Pour faire simple : « si votre appareil n’a pas été mis à jour depuis décembre 2019, il est probablement vulnérable ».

De son côté, le Bluetooth Special Interest Group (Bluetooth SIG) confirme la dangerosité de la faille et précise travailler à un correctif, qui passera par une mise à jour de la norme Bluetooth. En attendant, il donne des recommandations aux fabricants pour limiter les risques

4 commentaires
Avatar de UtopY-Xte INpactien
Avatar de UtopY-XteUtopY-Xte- 20/05/20 à 11:29:32

Que ça ai une incidence ou non, c'est vraiment ballot pour la communication des états s’apprêtant à déployer des dispositifs de suivi des identités des personnes via cette technologie de découvrir une faille importante d'usurpation d'identité.

Avatar de brice.wernet Abonné
Avatar de brice.wernetbrice.wernet- 20/05/20 à 11:37:38

L'autre video plus détaillée et le papier sont dispos sur https://francozappa.github.io/project/bias/ 
Ca a l'air "relativement" simple et clean. Il faut pouvoir communiquer avec le périphérique bluetooth et l'hôte avant de pouvoir se faire passer pour l'un ou l'autre, mais ça marche d'après eux quasiment partout (windows/android/linux) car ils se basent sur le standard bluetooth.

Avatar de Ricard INpactien
Avatar de RicardRicard- 20/05/20 à 17:53:56

Et l'appli sécurisée StopCovid, elle en est où au fait ? :keskidit:

Avatar de skankhunt42 Abonné
Avatar de skankhunt42 skankhunt42 - 21/05/20 à 17:31:17

Ricard a écrit :

Et l'appli sécurisée StopCovid, elle en est où au fait ? :keskidit:

Patience, moi et mon équipe ont est en train de bosser dessus !

Pour le moment ont galère pas mal alors qu'ont utilise un seul samsung galaxy s10 avec la dernière mise à jours et une capteur DIY multicanal posé en plein milieu de la pièce sur un trepied à hauteur d'épaule.

Le problème c'est que quand gérard met son téléphone dans sa poche de jean il émet un signal de 40 db si tourné vers l'extérieur mais seulement 30 db si vers l'intérieur.  Quand à moi avec ma coque c'est du 20 / 10 db et en plus mon jean est plus épais que celui de gégé. Quand à charlotte c'est du 10 / 2 db lorsque le téléphone est dans son sac.

Pour le moment le seul cas ou les résultats sont probant c'est quand le téléphone est autour du cou et ce peut importe le côté car le téléphone possède un capteur de proximité. Du coup il est possible de savoir de quel côté il est porté et d'envoyer l'information dans le signal BT.

Demain ont à prévu de faire un test avec deux téléphones ( S10 & S9 ) et ont sera probablement obligé d'envoyer le modèle qui emet dans le signal BT.

Par contre ont à pas trop d'idée à propos des téléphone plus ancien genre S6 car ont ne plus plus les mettre à jours. La seule possibilité étant de rajouter le numéro de l'os dans le signal BT.

Mais entre nous, plus ont passe de temps sur cette application et plus ont ce rend compte que c'est quasiment impossible, et que la seule possibilité pour avoir des résultat viable sera de porter un appareil spécifique autour du cou.
 

Il n'est plus possible de commenter cette actualité.