N\’importe qui peut contrôler votre ordinateur et votre téléphone sans autorisation. Une nouvelle faille fatale découverte dans Bluetooth

Bluetooth est présent dans la grande majorité des appareils modernes, ce qui constitue une réussite majeure étant donné qu\’il n\’a pas été conçu à l\’origine pour la plupart des fonctions qu\’il assure aujourd\’hui. Mais c\’est peut-être pour cela que cette technologie sans fil souffre encore de sérieux problèmes de performances et de sécurité ; Par exemple, le mois dernier, il a été révélé qu’un bug Bluetooth était présent sur tous les téléphones mobiles vendus dans le monde. Et elle n\’est pas la seule.

Maintenant, une nouvelle faille de sécurité a été annoncée, et elle est plus grave que la précédente ; En plus d’affecter les smartphones, cela affecte également les ordinateurs et tout ce qui dispose du Bluetooth. Le pire, c’est que cette panne permet un accès complet à l’appareil, qui est définitivement la passerelle dont rêvent les hackers.

Plus précisément, nous parlons de la vulnérabilité CVE-2023-45866, découverte par le chercheur en cybersécurité Mark Newlin. Le problème réside dans la méthode d\’authentification utilisée par les appareils pendant le processus de couplage, qui pourrait permettre à un attaquant de faire croire à notre téléphone portable ou à notre ordinateur qu\’il est connecté à un clavier Bluetooth qui a obtenu l\’autorisation.

En d’autres termes, un attaquant peut prendre le contrôle total de nos appareils et connecter son clavier pour envoyer des commandes ; Par exemple, pour exécuter des commandes sur notre ordinateur sans notre autorisation, installer les applications souhaitées et transférer nos données vers un serveur externe. Pour mener une telle attaque, vous n\’auriez pas besoin d\’un ordinateur exécutant Linux et d\’un adaptateur Bluetooth traditionnel ; Bien entendu, il doit être proche de nos appareils, à portée de connexion Bluetooth.

L\’attaque profite du type de connexion spécifié dans la spécification officielle Bluetooth, qui ne nécessite pas d\’authentification pour coupler l\’appareil ; Le problème est que cela peut être utilisé pour usurper l’identité d’un appareil ayant subi une authentification. Ce bug existe depuis la sortie de la version 4.2.2 de Bluetooth en novembre 2012, il affecte donc tous les types d\’appareils Android, iOS, macOS et Linux. Étrangement, il n’est pas précisé si cela affecte les ordinateurs exécutant Windows.

La seule bonne nouvelle est que Newlin a effectivement prévenu les fabricants en août dernier, avant l\’annonce de la découverte ; Cependant, les détails techniques n\’ont pas encore été publiés car tous les fabricants n\’ont pas mis à jour leurs appareils. Nous vous recommandons donc de désactiver le Bluetooth sur votre appareil lorsque vous ne l\’utilisez pas et de vérifier les appareils que vous y connectez.