Le Bluetooth, et spécifiquement le Bluetooth Low Energy (LE), intégré à la norme Bluetooth 5, présente une faiblesse notable, qui a permis à deux chercheurs en sécurité de pister des appareils durablement, alors même que ceux-ci sont censés utiliser des identifiants temporaires pour les protéger du tracking. La faiblesse concerne les appareils iOS, les Mac et les appareils Windows 10. Explications.

Une faiblesse du Bluetooth permet de pister les appareils iOS, macOS et Windows 10

Les chercheurs David Starobinski et Johannes Becker de l’Université de Boston ont présenté (PDF) leur découverte au 19e Privacy Enhancing Technologies Symposium qui se tenait à Stockholm, en Suède. Ceux-ci ont développé un algorithme nommé address-carryover qui se charge d’exploiter la nature asynchrone des Payload et des changements d’adresses pour permettre le tracking des appareils, malgré l’attribution aléatoire de leur adresse. L’algorithme ne requiert aucune attaque, il se base entièrement sur le trafic public et non chiffré des appareils concernés.

Pour fonctionner l’algorithme se nourrit des messages et événements transmis régulièrement (et aux appareils à proximité) par les iPhone, iPad, Mac et portables Windows 10, pour « autoriser certaines actions spécifiques avec les appareils à proximité », comme par exemple le partage AirDrop. Android, qui n’utilise pas cette méthode de communication, mais fait l’inverse (sniffer les émissions à proximité), semble non concerné à ce stade.

Ce sont donc les données transmises automatiquement, et en clair, qui peuvent être utilisée pour circonvenir la nature aléatoire des adresses MAC attribuées, et découvrir une « pseudo identité » persistante, permettant un pistage durable.  » L’adoption de Bluetooth 5 devrait concerner de 4,2 à 5,2 milliards d’appareils entre 2019 et 2022 : établir des méthodes résistantes au repérage, notamment sur des canaux de communication non chiffrés, revêtent une importance primordiale », estiment à raison les chercheurs.

AUCUN COMMENTAIRE

À vous la parole !

Fermer
*
*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.