Bluetooth : attention, une faille de sécurité a été détectée sur Android, iPhone, Mac et Linux

Une nouvelle vulnérabilité Bluetooth permet à un pirate de prendre le contrôle d’un appareil en se faisant passer pour un clavier sans fil. Cette faille, nommée CVE-2023-45866, affecte les appareils Android, Linux, macOS et iOS.

Android, Linux, macOS et iOS sont menacés par une faille Bluetooth qui simule un clavier sans fil

Concrètement, n’importe quel pirate peut se connecter à un appareil détectable sans que l’utilisateur s’en rende compte et lui envoyer des frappes au clavier. Il peut ainsi lancer des applications, exécuter des commandes arbitraires, ou installer des logiciels malveillants. Il lui suffit d’un ordinateur Linux avec un adaptateur Bluetooth standard.

La faille a été découverte et signalée par le chercheur en cybersécurité Marc Newlin, qui a prévenu les fournisseurs de logiciels Bluetooth. « J’ai appris à connaître le Bluetooth, et c’est un endroit effrayant » dit-il sur son compte X. Google a publié un avis de sécurité pour alerter les utilisateurs d’Android sur la faille, et a indiqué que CVE-2023-45866 pouvait même conduire à une élévation à distance des privilèges.

À lire : Le Bluetooth toujours activé peut être utilisé pour pister votre smartphone, selon une étude

Cette faille n’est pas la seule à menacer la sécurité du Bluetooth. La semaine dernière, des chercheurs d’Eurecom ont révélé deux failles, appelées BLUFFS, qui permettent au pirate de faire de l’usurpation d’identité ou des attaques de l’homme du milieu. Les BLUFFS sont suivis comme CVE-2023-24023 et touchent la spécification Bluetooth Core, à partir de la version 4.2.

Le Bluetooth est une technologie sans fil très utilisée et réputée sûre. Mais ces vulnérabilités pourraient compromettre des milliards d’appareils dans le monde, comme les ordinateurs, les smartphones, ou les objets connectés.

^{Source : Google}