Apple a distribué ses correctifs pour une importante faille Bluetooth

Florian Innocente |

Lors de la publication de la liste des failles de sécurité corrigées dans iOS 12.4, tvOS 12.4 et dans quelques versions de macOS, Apple en avait gardé une sous le coude, le temps qu'elle soit officialisée par le consortium Bluetooth.

Un groupe de chercheurs avait trouvé une faille au moment de la communication qui réalise le jumelage entre deux appareils. Il existe six méthodes de connexion et ce sont deux d'entre elles, courantes, qui sont concernées : le Bluetooth Basic Rate et le Bluetooth Enhanced Data Rate.

Ils ont trouvé le moyen d'imposer une clef de chiffrement dont la longueur pouvait être réduite à un seul octet. Une attaque par force brute, où sont calculées toutes les combinaisons possibles pour deviner le contenu de cette clef, devenait alors infiniment plus simple et rapide. Cette astuce est facilitée par le fait que certaines spécifications Bluetooth n'imposaient pas aux fabricants de longueur minimale pour la clef de chiffrement.

La faille est d'importance puisque la possession de ce sésame rend possible l'interception des données échangées ou l'injection de code. Mais le contexte pour la mettre en œuvre demeure assez fastidieux.

Il faut que l'appareil, qui va se mêler à l'échange aux deux autres, soit dans leurs environs immédiats ; qu'il s'insère dans la discussion dans un délai très réduit et qu'une fois la longueur de la clef imposée aux deux victimes, il parvienne à la deviner rapidement (mais c'est tout l'objet de l'attaque, rendre cette étape bien plus simple). L'opération en outre devra être répétée chaque fois qu'un jumelage est réalisée puisqu'une nouvelle clef est générée.

Une attaque pas forcément aisée mais qui a néanmoins amené le consortium à adapter ses spécifications fondamentales et ses consignes auprès des éditeurs et des fabricants. Les versions corrigées des systèmes d'Apple ont été mises en ligne le 22 juillet dernier.

avatar Bigdidou | 

Il s’est passé a cette occasion un truc au niveau des AirPod ?
Subitement impossible pour ma femme d’appairer les siens (ni des réinitialiser).

avatar quentinf33 | 

@Bigdidou

Un collègue a eu le même problème. J’ai essayé plusieurs fois, le mode jumelage de désactivait immédiatement... il a obtenu un échange standard en Apple Store 😊

avatar xDave | 

Et là, on se régale des commentaires de certains sur l'article précédent cité en lien 😛

avatar oomu | 

"Et là, on se régale des commentaires de certains sur l'article précédent cité en lien 😛"

Microsoft va certainement réagir rapidement... App£€ (et plein d'autres unités de monnaies qui rend si subversif) dans quelques mois, disant que ça n'est pas grave...

heu attendez ! Ha ben mince, c'est pas ce qui s'est passé ! La Réalité a désavoué le Narratif ! nOOOOOOoooooooooon

#trollBrisé

avatar guilpa | 

Deux fois plus de failles chez Google et Apple que chez Microsoft

avatar raichad0 | 

Je recommande fortement !
https://bulletforce.online/

CONNEXION UTILISATEUR