Une faille critique au sein du protocole Bluetooth expose actuellement des millions de systèmes fonctionnant sous Android, Linux, MacOS et iOS. Cette vulnérabilité permet le contournement de l'authentification et l'injection de frappes, affectant ainsi divers systèmes, de Android à Linux en passant par MacOS et iOS.
De BLURtooth à BrakTooth, ces vulnérabilités liées au Bluetooth ont des répercussions sur de nombreux terminaux, compromettant leur sécurité. Un exemple antérieur remonte à 2016 avec MouseJack, qui touchait les dongles et souris de 17 fournisseurs, offrant la possibilité de prendre le contrôle d'un système via l'injection de touches. C'est le chercheur en sécurité, connu sous le pseudonyme Keyboard, à l'origine de cette découverte, qui réapparaît récemment avec une nouvelle recherche, mettant en lumière une faille Bluetooth supplémentaire.
Selon le chercheur, plusieurs piles Bluetooth présentent des vulnérabilités de contournement d'authentification, permettant à un attaquant de se connecter à un hôte découvrable sans confirmation de l'utilisateur et d'effectuer une injection de touches. Un attaquant à proximité peut exploiter cette faille en se connectant à un appareil vulnérable via Bluetooth non authentifié, injectant ainsi des séquences de touches pour installer des applications, exécuter des commandes arbitraires, transférer des messages, etc. L'exploitation de cette faille, identifiée sous la référence CVE-2023-45866, ne nécessite pas de matériel spécialisé et peut être réalisée à partir d'un ordinateur Linux équipé d'un adaptateur Bluetooth standard.
Cette vulnérabilité touche des millions de terminaux, notamment les smartphones Google Pixel 7 sous Android 14, Pixel 6 et 4a 5G sous Android 13, les systèmes Ubuntu 18.04, 20.04, 22.04 et 23.10, ainsi que les MacBook Pro 2022 sous macOS 13.3.3 et MacBook Air 2017 sous macOS 12.6.7, et les iPhone SE sous iOS 16.6. Toutes les failles ont été signalées aux fournisseurs pendant l'été 2023, et des correctifs ont été déployés depuis début décembre. Il est fortement recommandé d'appliquer les dernières mises à jour système pour tous les terminaux concernés. La faille affecte également les terminaux Android sous Android 4.2.2-10, pour lesquels il n'existe actuellement aucun patch disponible.
Keyboard explique que ces vulnérabilités exploitent la machine à états de l'hôte Bluetooth en le trompant pour qu'il s'apparie avec un faux clavier sans confirmation de l'utilisateur. Le mécanisme d'appairage non authentifié, défini dans la spécification Bluetooth, est exposé à l'attaquant en raison de bogues spécifiques à l'implémentation. Les terminaux non corrigés sont vulnérables dans certaines conditions : pour Android dès que la fonction Bluetooth est activée, pour Linux/BlueZ lorsque le Bluetooth peut être découvert/connecté, et pour iOS et macOS lorsque le Bluetooth est activé et qu'un Magic Keyboard est couplé avec le téléphone ou l'ordinateur. L'exploitation de ces vulnérabilités peut être réalisée à partir d'un ordinateur Linux utilisant un adaptateur Bluetooth standard. Une fois que l'attaquant a couplé le téléphone ou l'ordinateur cible, il peut injecter des frappes pour effectuer des actions arbitraires en tant que victime, à condition que ces actions ne nécessitent pas de mot de passe ou d'authentification biométrique.
