Un trio de chercheurs en sécurité informatique vient de révéler l’existence d’une douzaine de failles dans les puces Bluetooth Low Energy de sept fabricants. À savoir : Cypress, NXP, Dialog, Texas Instruments, Microchip, Telink et ST Microelectronics. Ces puces défaillantes sont embarquées dans plus de 480 modèles d’appareils connectés différents : bracelets fitness, serrures, cadenas, prises électriques, capteurs, appareils médicaux, etc. Au total, ces failles affectent donc certainement des millions d’utilisateurs dans le monde.
Baptisées « SweynTooth », ces failles permettent trois types d’attaques : un crash de firmware, un « brickage » de l’appareil ou un contournement des droits d’accès. Ce dernier cas — le plus grave — ne fonctionne que sur les puces de Telink, qui sont notamment intégrées dans des souris de Xiaomi ou des éclairages LED de Samsung. La faille CVE-2019-19194 permet alors à un pirate de s’y connecter de manière sauvage, sans procéder à un jumelage. Il pourra, par conséquent, avoir des accès en lecture et écriture sur l’appareil vulnérable.
Mais les deux autres types d’attaques ne sont pas négligeables pour autant. Dans des vidéos YouTube, les chercheurs montrent qu’ils arrivent à rendre temporairement indisponibles des bracelets Fitbit, des serrures August Smart Lock ou des trackers CubiTag. Et en attaquant les prises électriques d’Eve Energy, ils parviennent à couper temporairement l’alimentation. Bref, c’est le paradis pour les petits farceurs.
La bonne nouvelle, c’est que la plupart des fabricants de puces ont d’ores et déjà développé des patchs. Seuls Dialog, Microchip et STMicroelectronics n’ont pas encore diffusé de correctifs, mais cela ne saurait tarder. Reste à savoir si les fabricants d’appareils vont réellement les répercuter auprès de leurs clients. Tous ne disposent pas forcément d’un processus de mise à jour simple et automatisé.
Source : SweynTooth
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.