Les failles détectées et répertoriées par Armis, une start-up experte en sécurité IoT basée à Palo Alto (Californie), sont décrites sous le nom de « BlueBorne » ; « Blue » en référence au Bluetooth, « Borne » en référence à « airborne » dans le sens où elles peuvent être exploitées « par les airs » pour attaquer des périphériques.
Huit vulnérabilités zero-day ont été découvertes au sein du très populaire protocole Bluetooth. Ce faisant, elles mettent en danger les utilisateurs sur des OS non moins populaires comme Linux, Windows, iOS ou Android. Elles permettent à des attaquants de prendre le contrôle d’appareils à distance et donc d’accéder à des données confidentielles mais aussi potentiellement de diffuser des malwares sans que l’utilisateur ne s’en rende compte. « Armis a reporté ces vulnérabilités aux acteurs concernés, et travaille de concert avec eux sur des patchs à mesure qu’ils sont diffusés », écrit l’entreprise spécialisée dans la sécurité de l’IoT.
Dans les faits, il s’agit donc de milliards d’appareils qui sont exposés à l’une de ces huit failles zero-day. Il peut s’agir d’ordinateurs, de smartphones, d’objets connectés, etc. Les appareils n’ont pas besoin d’être appairés à celui de l’attaquant, ni même d’être dans un mode qui permet d’être visible sur un réseau. Toutes les failles découvertes sont « pleinement opérationnelles » et peuvent être exploitées dans le cadre d’une attaque à distance ou dans celui d’une attaque de type MITM (Man in the Middle). Armis estime encore que d’autres vulnérabilités pourraient subsister sur le protocole Bluetooth.
Les blocs basiques du protocole Bluetooth avec la localisation des différentes vulnérabilités.
Android le plus touché
Par ce biais, des attaquants sont donc en mesure de créer de vastes réseaux de botnets avec des appareils infestés ; comme nous l’avions déjà vu avec Mirai par exemple, mais aussi avec WireX. Les chercheurs expliquent aussi que tous les appareils Android, smartphones, tablettes et objets connectés (sauf ceux utilisant le Bluetooth Low Energy) sont affectés par quatre des huit failles zero-day dont deux permettent l’exécution de code à distance (CVE-2017-0781 and CVE-2017-0782), une autre permet la fuite de données (CVE-2017-0785) et une dernière pour des attaques MITM (CVE-2017-0783).
Google a mis à disposition de ses partenaires un patch depuis le 7 août 2017, diffusé le 4 septembre dans le cadre du bulletin de sécurité.
Pour les utilisateurs d’Android, Armis met à disposition une application pour vérifier si vous êtes vulnérable. Toutes les versions de Windows depuis Vista sont affectées par une faille permettant une attaque MITM. Quant à Linux, deux failles peuvent le toucher. Enfin, iOS en-dessous de la version 9.3.5 est lui aussi ciblé, tout comme les Apple TV en dessous de la version 7.2.2.
[embed]https://youtube.com/watch?v=Az-l90RCns8[/embed]