BlueBorne : l'échec affecte silencieusement presque tous vos gadgets compatibles Bluetooth

Des failles de sécurité très importantes se font souvent appeler Heartbleed, Stagefright et QuadRooter. Nous en avons un nouveau : BlueBorne a été découvert par la société de sécurité Armis et touche des milliards d’appareils équipés de Bluetooth, y compris tous les smartphones, tablettes et portables avec Android et les ordinateurs avec Windows Vista ou plus récent.

BlueBorne est un ensemble de huit vulnérabilités de type “zero-day”, dont quatre sont classées comme critiques. Les lacunes concernent les smartphones, les tablettes, les ordinateurs, les voitures et autres gadgets connectés à Android, iOS, Windows et Linux. Si elles sont exploitées, les failles permettent aux pirates de prendre le contrôle total des appareils et d’accéder indûment à des données sensibles.

En pratique, presque tous vos appareils compatibles Bluetooth qui n’ont pas reçu de correctif récent peuvent être attaqués en moins de 10 secondes s’ils se trouvent à moins de 10 mètres d’une personne malveillante. Il n’est pas nécessaire de cliquer sur quoi que ce soit, ni d’installer un logiciel : il suffit d’avoir la connexion Bluetooth activée, et le code malveillant peut s’exécuter en silence.

Bit.ly ajoute une protection contre les sites web malveillants

Sommaire

Comment cela fonctionne-t-il ?
Qui est concerné ?
Que faire ?

Comment cela fonctionne-t-il ?

Comme l’explique Armis :

Tout d’abord, l’agresseur recherche les connexions Bluetooth actives autour de lui. Les appareils peuvent être identifiés même s’ils ne sont pas en mode découverte. Ensuite, l’attaquant obtient l’adresse MAC de l’appareil, qui est l’identifiant unique de cet appareil particulier. En testant le dispositif, l’attaquant peut déterminer quel système d’exploitation la victime utilise et ajuster l’exploit en conséquence.

L’attaquant peut alors exploiter la vulnérabilité en implémentant le protocole Bluetooth sur la plate-forme en question et obtenir l’accès dont il a besoin pour agir avec une intention malveillante. À ce stade, l’agresseur peut choisir entre lancer une attaque de type “homme du milieu”, contrôler la communication de l’appareil ou prendre le contrôle total de l’appareil et l’utiliser à des fins cybercriminelles très diverses ?

En bref, c’est très sérieux. Vraiment. J’ai toujours voulu écrire en rouge ici à la tuberculose. Maintenant, c’est le moment. Le temps.

Un bogue dans Apache peut faire planter tout le serveur

Qui est concerné ?

Pratiquement tous ceux qui lisent ce texte, y compris ceux qui l’ont en leur possession :

Tout ordinateur Bluetooth avec Windows Vista ou plus récent qui n’a pas reçu la mise à jour d’urgence de Microsoft publiée ce lundi (12) ;

Tout smartphone, tablette et portable (à l’exception de ceux avec seulement le Bluetooth à faible consommation d’énergie) avec Android qui n’ont pas encore reçu le patch de sécurité mensuel de septembre ;

Tout appareil avec le noyau de Linux à partir de la version 3.3-rc1 (sortie en octobre 2011) ou BlueZ, y compris Gear S3, Smart TVs et le réfrigérateur intelligent de Samsung, qui fonctionnent avec Tizen ;

Tout iPhone, iPad ou iPod touch avec iOS 9.3.5 ou inférieur (bogue corrigé dans iOS 10 ), et tout Apple TV en version 7.2.2 ou inférieure.

Que faire ?

La recommandation la plus sûre est la suivante : si vous n’utilisez pas Bluetooth et que vous n’êtes pas sûr d’avoir reçu le correctif de sécurité, désactivez la connexion sur votre smartphone, tablette, ordinateur portable et autres appareils.

Le mot de passe le plus utilisé de Gawker Media est 123456.

De plus, si les entreprises font leur part, vous devriez remarquer un message de mise à jour du logiciel sur votre appareil dans les heures ou les jours qui suivent. Ne retardez pas l’installation du patch.