Les attaquants pourraient abuser des vulnérabilités découvertes dans les spécifications Bluetooth Core et Mesh Profile pour usurper l’identité d’appareils légitimes pendant le processus de couplage et lancer des attaques de type «  man-in-the-middle  » (MitM).

Les spécifications Bluetooth Core et Mesh Profile définissent les exigences requises par les appareils Bluetooth pour communiquer entre eux et pour les appareils Bluetooth utilisant la technologie sans fil à faible consommation d’énergie pour permettre des solutions de réseau maillé interopérables.

Exploiter avec succès les vulnérabilités découvertes et signalées par les chercheurs de l’Agence nationale de la sécurité des systèmes d’information (ANSSI), pourrait permettre aux attaquants de lancer des attaques MitM tout en étant à portée sans fil d’appareils vulnérables.

Le Bluetooth Special Interest Group (Bluetooth SIG), l’organisation qui supervise le développement des normes Bluetooth, a également émis des avis de sécurité plus tôt dans la journée, fournissant des recommandations pour chacune des sept failles de sécurité ayant un impact sur les deux spécifications vulnérables.

Des informations détaillées sur les vulnérabilités découvertes, y compris les spécifications Bluetooth affectées et les liens vers les avis et recommandations Bluetooth SIG, sont disponibles dans le tableau intégré ci-dessous.

« Le Bluetooth SIG communique également largement des détails sur cette vulnérabilité et ses remèdes à nos sociétés membres et les encourage à intégrer rapidement les correctifs nécessaires », a déclaré l’organisation.

« Comme toujours, les utilisateurs Bluetooth doivent s’assurer d’avoir installé les dernières mises à jour recommandées par les fabricants d’appareils et de systèmes d’exploitation. »

VU # 799380: Les appareils prenant en charge les spécifications Bluetooth Core et Mesh sont vulnérables aux attaques par usurpation d’identité et à la divulgation AuthValue https://t.co/qKx4Of6L9V

– US-CERT (@USCERT_gov) 24 mai 2021

Les fournisseurs concernés s’efforcent de corriger les failles

Le projet Android Open Source (AOSP), Cisco, Intel, Red Hat, Microchip Technology et Cradlepoint sont parmi …