La faille BLURtooth expose des milliards d'appareils Bluetooth

Des chercheurs de l'EPFL et de l'Université de Purdue ont identifié des graves vulnérabilités touchant le protocole Bluetooth, rapporte le Bluetooth Special Interest Group (SIG). Une faille dans le composant Cross-Transport Key Derivation (CTKD), utile dans la configuration des clés d'authentification lors du couplage de deux appareils Bluetooth, permet à un attaquant d’écraser d'autres clés d'authentification et d’accéder à d’autres services et applications liés au Bluetooth.

Dénommée BLURtooth, la faille touche le couplage en «dual mode» pour tous les appareils utilisant les versions de 4.2 à 5.0 et compatible à la fois avec des normes Bluetooth Classic (BR/EDR) et Low Energy (BLE). Le nombre d’appareils concernés est difficile à estimer mais l’on parle probablement de plusieurs milliards. La version Bluetooth 5.0 n’a été progressivement remplacée qu’à partir de janvier 2019. Selon les chiffres du Bluetooth SIG, plus de 2 milliards d'appareils compatibles à la fois avec les normes Classic et LE ont été vendus en 2018. Le nombre d’appareils dotés d’une connectivité Bluetooth continue en outre d'augmenter années après années: en 2024, pas moins de 6,2 milliards d’unités devraient s’écouler.

Concernant la faille BLURtooth, le Bluetooth SIG recommande aux fabricants de livrer rapidement des correctifs ou de mettre à jour leurs appareils avec les versions Bluetooth non concernées par la faille.