Les montres Apple Watch, les bracelets Fitbit, les ordinateurs Windows 10, MacOS ainsi que les smartphones équipés d’iOS sont exposés à une vulnérabilité du protocole Bluetooth Low Energy. C’est ce qu’ont découvert des chercheurs de la Boston University Johannes K. Becker, David Li et David Starobinski.

Selon eux, la faille pourrait exposer les utilisateurs à la fuite de leurs données et à un suivi à distance par des tiers. Ils ont présenté en détail leurs travaux lors du Privacy Enhancing Technologies Symposium, à Stockholm en Suède.

Ainsi, un cyberattaquant pourrait profiter du problème causé par l’implantation particulière du BLE pour surveiller ses victimes sans se faire remarquer. Il peut extraire les jetons d’authentification comme le type d’appareil ou les informations identifiables d’un fabricant.

La spécification Bluetooth Low Energy, introduite en 2010 par la Bluetooth SIG, prend place dans les dispositifs comme l’Apple Watch ou les bracelets Fitbit depuis 2012. Comme son nom l’indique, le principal intérêt du protocole repose dans la réduction de consommation d’énergie.

Bluetooth : un système de demande d’appairage peu sécurisé

Le BLE, c’est aussi un standard qui facilite la connexion entre plusieurs équipements. Quand deux d’entre eux s’avèrent proches l’un de l’autre, ils transmettent des signaux par le biais de trois canaux publics et non chiffrés. Pour ce faire, les appareils Bluetooth envoyaient en permanence leur adresse MAC. Cet identifiant unique 48 Bits était alors facilement lisible. La SIG a donc revu le protocole afin de rendre aléatoires les identifiants. Le système doit changer périodiquement les adresses. Chaque constructeur a adopté la solution à sa sauce.

Or ce générateur aléatoire d’identifiants se trouve à la source du problème. Les chercheurs de la Boston University affirment que les jetons (Tokens) transmis au moment de se connecter, eux, ne changent pas. De plus, leurs diffusions durent assez longtemps (environ 15 minutes) pour qu’ils soient considérés comme des identifiants secondaires en plus de l’adresse MAC.

Les scientifiques ont donc mis au point un algorithme qui exploite la nature asynchrone du changement d’adresse et de charge utile. Celui-ci analyse les Tokens pour faire correspondre une adresse MAC aléatoire à un équipement qui s’est déjà connecté. L’anonymisation ne fonctionne plus.

De plus, l’on peut lier deux signatures MAC différentes en repérant la présence du même Tokens. L’algorithme dit de suivi d’adresses, les enregistre, conservent les identifiants et analyse une séquence d’octets spécifique. Puis il les compare avec les nouvelles entrantes. Le modèle continue d’opérer jusqu’à ce qu’il ne trouve plus de correspondances.

Une grande quantité d’appareils vulnérables

Il n’y a donc pas besoin de déchiffrer les messages ou de casser les protections du Bluetooth. La faille repose uniquement sur les canaux publics, non encryptés et en clair. Les chercheurs ont testé différents appareils. Ceux équipés des systèmes Windows, macOS et iOS sont vulnérables. Les dispositifs Android ne subissent pas le problème. En effet, l’OS n’envoie pas de données spécifiques aux constructeurs dans ses demandes de connexion.

Les trois scientifiques recommandent de synchroniser les changements d’adresse MAC avec ceux des charges utiles. De cette manière, le trajet des équipements s’en retrouve obfusqué. Par ailleurs, les bracelets connectés et les montres n’ont pas forcément de système de randomisation, puisque cela consomme plus d’énergie. Ils suggèrent de les modifier lors de l’alimentation de la batterie ou au cours d’un cycle particulier. Pour les smartphones, couper le Bluetooth quand on ne l’utilise pas est un bon début.