Quantcast

On peut hacker ton cell ou ton ordi avec Bluetooth, à ton insu

Ton appareil a une fonction Bluetooth? Désactive-moi ça tout de suite.

Justine de l'Église

Justine de l'Église

Pas mal n'importe quel objet qui a une fonction Bluetooth peut être piraté, selon des chercheurs qui ont révélé une série de vulnérabilités sur les plateformes Android, Linux, Windows et les versions précédant iOS 10.

La compagnie Armis, spécialisée en sécurité de l'internet des objets, nous met en garde contre le vecteur d'attaque surnommé « BlueBorne », qui se diffuse dans l'air et attaque via Bluetooth. Il peut potentiellement affecter tout appareil connecté, que ce soit un laptop, un cell, une montre, une télé, un char, et même de l'équipement médical. On estime qu'il y a plus de 8,2 milliards d'objets ayant une connection Bluetooth dans le monde. Ça fait de la surface à pirater.

Le vecteur d'attaque est peu commun. L'utilisateur n'a rien à faire pour permettre au hacker d'agir; il n'a pas à cliquer sur un lien ou à télécharger un fichier, ni même à être connecté à internet.

Il n'a qu'à laisser son Bluetooth activé, et l'attaque passe outre les outils de sécurité traditionnels.

À partir de ça, un hacker possédant un laptop ou même une tablette, qui se trouve à quelques mètres de ses victimes, peut pénétrer et prendre le contrôle complet des appareils ciblés. Ça pourrait lui permettre de prendre des photos, d'accéder aux données, aux réseaux d'entreprise, d'implanter des « rançongiciels » ou encore de diffuser des logiciels malveillants sur tous les autres appareils se trouvant en périphérie.

Il serait donc possible d'intégrer ces appareils à des réseaux de botnets, et de causer des dégâts de très grande envergure.

Armis a pris soin d'avertir les compagnies en question plusieurs mois avant de rendre la nouvelle publique, pour leur laisser le temps de patcher les différentes failles de sécurité.

C'tu grave?

À lire Armis, l'apocalypse est à nos portes. Des experts interviewés par Motherboard tentent de calmer le jeu. D'après le chercheur en sécurité bien calé en Bluetooth, Collin Miller, il n'y a pas de raison de paniquer tant qu'on applique les patchs. Il ajoute qu'il faudrait être à proximité du hacker pour être attaqué, et qu'il est très difficile de programmer un hack qui fonctionnerait sur toutes les plateformes à la fois, ce qui rendrait improbable la création d'un « ver Bluetooth » pouvant se propager entre différents appareils.

Le fondateur de la firme de sécurité Trail of Bits, Dan Guido, abonde dans le même sens. « Il y a du chemin à parcourir entre l'existence d'un bogue et la propagation d'un ver », a-t-il assuré à Motherboard.

Le consultant en sécurité informatique et cofondateur de Crypto.Quebec, Jean-Philippe Décarie-Mathieu, n'est pas d'accord avec cette vision des choses. La faille demeure « catastrophique » vu la quantité d'appareils potentiellement vulnérables. « C'est un protocole qui est partout, remarque-t-il, que tout le monde oublie de désactiver. »

Il faut savoir que même si la fonction Bluetooth n'est pas connectée à un autre appareil, elle demeure en quête d'autres objets auxquels se connecter, ce qui nous rend attaquables. « C'est comme si tu sortais dans la rue et que tu criais super fort à tout le monde ton adresse. Faut le voir comme ça. T'sais, un moment donné, ferme ta yeule », lance-t-il à la blague.

Jean-Philippe a bien peu de foi en la capacité ou la volonté des gens à se prémunir contre ce type de risques. « Les gens patchent pas, ils remettent toujours à plus tard les mises à jour, juge-t-il. C'est naïf de croire que tout le monde va patcher immédiatement, parce que les gens ne sont pas au courant de ça, ils ne savent même pas comment faire, des fois. »

Il est d'accord avec Armis pour dire que BlueBorne, ce n'est que le début. « Ça, c'est huit failles, qui ont été révélées par une compagnie. L'industrie de la sécurité se penche beaucoup plus sur Bluetooth. Tu vas voir d'autres vulnérabilités sortir. C'est certain! C'est développé par des humains, et les humains font des erreurs. »

Justine de l'Église est sur Twitter.