Failles sur le protocole Bluetooth qui permettent d’usurper l’identité d’appareils

Des pirates pourraient exploiter les vulnérabilités des spécifications Bluetooth Core et Mesh pour usurper l’identité d’appareils lors du processus d’appairage, ouvrant ainsi la voie à des attaques de type “man-in-the-middle” (MITM).

Les vulnérabilités, divulguées par des chercheurs de l’Agence nationale de la sécurité des systèmes d’information (ANSSI), permettent des “attaques par usurpation d’identité et des divulgations d’AuthValue”, selon un avis du centre de coordination CERT de l’université Carnegie Mellon.

Bluetooth Core et Mesh sont des spécifications distinctes et adaptées aux appareils à faible consommation d’énergie et à l’Internet des objets (IoT) ou à la communication entre plusieurs appareils (m:m) pour les réseaux à grande échelle.

6 failles identifiées

Les vulnérabilités sont les suivantes :

• CVE-2020-26558 : Une vulnérabilité dans le protocole Passkey Entry, utilisé pendant le Secure Simple Pairing (SSP), les Secure Connections (SC) et les LE Secure Connections (LESC) dans Bluetooth Core (v.21 – 5.2). Un attaquant pourrait envoyer des réponses modifiées pendant l’appairage afin de déterminer chaque bit de la clé de passe générée aléatoirement pendant l’appairage, ce qui entraînerait une usurpation d’identité.
• CVE-2020-26555 : Une autre vulnérabilité dans Bluetooth Core (v1.0B à 5.2), la procédure d’appairage BR/EDR PIN peut également être utilisée à des fins d’usurpation d’identité. Les attaquants peuvent usurper les adresses de périphériques Bluetooth d’un périphérique cible et effectuer le couplage BR/EDR par code pin sans connaître le code pin. Cette attaque nécessite qu’un dispositif malveillant soit à portée sans fil.
• CVE-2020-26560 : Ayant un impact sur Bluetooth Mesh (v.1.0, 1.0.1), cette vulnérabilité pourrait permettre aux attaquants d’usurper les dispositifs en cours de provisionnement via des réponses créées pour sembler posséder une AuthValue, ce qui pourrait leur donner accès à une NetKey et une AppKey valides. Le dispositif d’un attaquant doit se trouver dans la portée sans fil d’un provisionneur Mesh.
• CVE-2020-26557 : Affectant Bluetooth Mesh (v.1.0, 1.0.1), le protocole Mesh Provisioning pourrait permettre aux attaquants d’effectuer une attaque par force brute et de sécuriser une valeur fixe AuthValue, ou une valeur qui est “sélectionnée de manière prévisible ou avec une faible entropie”, conduisant à des attaques MiTM sur les futures tentatives de provisionnement.
• CVE-2020-26556 : Si l’AuthValue peut être identifiée pendant le provisionnement, le protocole d’authentification Bluetooth Mesh (v.1.0, 1.0.1) est vulnérable et peut être utilisé de manière abusive pour sécuriser une clé réseau. Cependant, les chercheurs notent que les attaquants doivent identifier l’AuthValue avant un délai d’expiration de session.
• CVE-2020-26559 : La procédure Mesh Provisioning utilisée par Bluetooth Mesh (v.1.0, 1.0.1) permet aux attaquants sans accès à l’AuthValue — d’identifier l’AuthValue sans avoir besoin d’une attaque par force brute.

“Même lorsqu’une AuthValue générée aléatoirement avec 128 bits d’entropie est utilisée, un attaquant qui acquiert la clé publique du provisionneur, la valeur de confirmation du provisionnement et la valeur aléatoire du provisionnement, et qui fournit sa clé publique pour l’utiliser dans la procédure de provisionnement, sera en mesure de calculer directement l’AuthValue”, indique l’avis.

Les chercheurs ont également identifié une vulnérabilité potentielle dans Bluetooth Core concernant l’appairage LE Legacy dans les versions 4.0 à 5.2, qui pourrait permettre à un dispositif contrôlé par un attaquant d’effectuer l’appairage sans connaître les clés temporaires (TK).

Les réactions d’Android, Cisco, Cradlepoint, Microship Technology et Red Hat

Le projet open source Android, Cisco, Cradlepoint, Intel, Microchip Technology et Red Hat sont cités comme fournisseurs de logiciels vulnérables aux vulnérabilités divulguées, sous une forme ou une autre.

Le projet open source Android a déclaré : “Android a évalué ce problème comme étant de haute gravité pour Android OS et publiera un correctif pour cette vulnérabilité dans un prochain bulletin de sécurité Android.”

Cisco a déclaré :

“Cisco a étudié l’impact des vulnérabilités de la spécification Bluetooth susmentionnées et attend actuellement que toutes les équipes de développement de produits individuels fournissent des correctifs logiciels pour y remédier.”

Microchip Technologies travaille également sur des correctifs.

“Cradlepoint a été informé des vulnérabilités BLE avant leur divulgation publique” indique la société. “Nous disposons d’une version de production de notre code NetCloud OS (NCOS version 7.21.40) qui corrige les problèmes cités. Par conséquent, nous considérons que cette vulnérabilité de sécurité est corrigée.”

Red Hat a fourni des liens vers des avis pour CVE-2020-26555 et CVE-2020-26558. On ne pense pas pour l’instant que les produits de l’organisation soient vulnérables à CVE-2020-26556, CVE-2020-26557, CVE-2020-26559 ou CVE-2020-26560, mais Red Hat effectue des évaluations pour étudier tout problème potentiel.

Mettre à jour quand cela est disponible

Le Bluetooth Special Interest Group (SIG), qui travaille sur le développement des normes mondiales Bluetooth, a également publié des avis de sécurité distincts. Pour atténuer le risque d’exploitation, il convient d’accepter les mises à jour des fabricants de systèmes d’exploitation dès qu’elles sont disponibles.

Cette recherche fait suite à un autre problème de sécurité lié à Bluetooth, divulgué en septembre 2020 par des universitaires de l’Université Purdue. Baptisée Bluetooth Low Energy Spoofing Attack (BLESA), cette vulnérabilité a un impact sur les appareils fonctionnant avec le protocole Bluetooth Low Energy (BLE), un système utilisé lorsque la batterie est limitée.

Source : “ZDNet.com”