Google Home et Amazon Echo patchés pour éviter BlueBorne

L’ensemble de failles découvertes dans le protocole Bluetooth affecte très largement l’IoT. Parmi les objets vulnérables, les enceintes connectées. Lesquelles ne permettent pas de désactiver le Bluetooth. Google et Amazon ont réagi en patchant leurs Home et Echo.

Le protocole Bluetooth est percé de trous. Révélées par Armis mi-septembre, un ensemble de huit failles « pleinement opérationnelles » désigné sous le nom BlueBorne permet la prise de contrôle à distance des appareils. Injection de code malveillant, accès aux données des terminaux, création d’un réseau de botnets, libre à l’attaquant de choisir quel usage il veut faire de l’appareil.

Selon la société de sécurité informatique, des milliards d’appareils sont potentiellement vulnérables, qu'il s'agisse des objets connectés, des smartphones, des ordinateurs, des périphériques quelconques, qu’ils soient sous iOS, Android, Windows ou encore Linux. Mieux encore, les appareils n’ont pas besoin d’être appairés à celui de l’attaquant, ni même d’être dans un mode qui permet d’être visible sur un réseau. Il suffit que le Bluetooth soit activé.

Correctifs

Et justement, les enceintes connectées Google Home et Amazon Echo ne proposent pas de bouton permettant de simplement désactiver le Bluetooth. D’ailleurs, le dernier PoC en date d’Armis concerne l’enceinte d’Amazon. Celle-ci est affectée de deux vulnérabilités, CVE-2017-1000251 qui permet l’exécution de code à distance pour le kernel Linux, et CVE-2017-1000250, une vulnérabilité de fuite d'informations dans le serveur SDP.

 

Google Home, pour sa part, est touché par la faille CVE-2017-0785, qui concerne la pile Bluetooth Android. Armis estime que 15 millions d’exemplaires d’Echo et 5 millions de Home ont été vendus. Avertis, les deux géants ont déployé des patchs correctifs pour leurs enceintes respectives.