Des failles Bluetooth permettent l’usurpation d’identité

Des chercheurs universitaires ont découvert des vulnérabilités de sécurité dans Bluetooth Classic qui permettent aux pirates d’usurper des appareils jumelés: ils ont constaté que les bugs permettaient à un attaquant d’insérer un appareil voyou dans un appariement Bluetooth établi, se faisant passer pour un point de terminaison de confiance. Cela permet aux pirates de capturer des données sensibles de l’autre appareil.

Les failles permettent des attaques par usurpation d’identité Bluetooth (BIAS) sur les gadgets IoT, les téléphones, les ordinateurs portables et d’autres appareils, selon des chercheurs de l’École Polytechnique Fédérale de Lausanne (EPFL) en Suisse. Les failles ne sont pas encore corrigées mais certains fournisseurs concernés ont pu implémenter des solutions de mitigation.

«Nous avons mené des attaques BIAS sur plus de 28 puces Bluetooth uniques (en attaquant 30 appareils différents)», ont déclaré les chercheurs. «Au moment d’écrire ces lignes, nous avons testé des puces de Cypress, Qualcomm, Apple, Intel, Samsung et CSR. Tous les appareils que nous avons testés étaient vulnérables à l’attaque BIAS.»

bluetooth

Le problème réside dans les protocoles de couplage/liaison utilisés dans la spécification. Lorsque deux appareils Bluetooth sont couplés pour la première fois, ils échangent une clé de chiffrement persistante (la «clé à long terme») qui sera ensuite stockée, de sorte que les points d’extrémité sont ensuite liés et se connecteront sans avoir à effectuer le processus d’appariement.

Pour que les attaques réussissent, un appareil attaquant devrait être à portée sans fil d’un appareil Bluetooth vulnérable qui a déjà établi une liaison avec un appareil distant avec une adresse Bluetooth connue de l’attaquant.

Les failles BIAS

Les connexions post-appariement sont activées car les appareils – appelons-les Alice et Bob – effectuent une vérification des antécédents pour s’assurer que les deux possèdent la clé à long terme. Cela se fait en utilisant les protocoles Legacy Secure Connections ou Secure Connections dans la spécification Bluetooth, qui vérifient trois choses: l’adresse Bluetooth d’Alice, l’adresse Bluetooth de Bob et la clé à long terme partagée.

Comme les chercheurs l’ont expliqué dans leur article, un attaquant (appelons-le Charlie) peut changer son adresse Bluetooth pour imiter l’adresse d’Alice ou de Bob (découverte via une simple écoute), mais il ne peut pas prouver la propriété de [la clé à long terme].” Les chercheurs ont expliqué: “c’est l’hypothèse fondamentale derrière les garanties d’authentification Bluetooth, et cette hypothèse devrait protéger contre les attaques d’usurpation d’identité.”

Ils ont ajouté: «Les deux procédures authentifient [la clé à long terme] à l’aide d’un protocole challenge-réponse, et la sélection de la procédure dépend des fonctionnalités prises en charge par Alice et Bob. La norme prétend que les deux procédures protègent l’établissement d’une connexion sécurisée contre les attaques d’usurpation d’identité, car un attaquant qui ne connaît pas [la clé à long terme] ne peut pas répondre correctement à un challenge. »

bluetooth

Cependant, plusieurs failles existent dans ces processus, ont-ils constaté, ouvrant la porte aux BIAS pendant que la connexion post-appariement est en cours. Les problèmes sont les suivants: l’établissement de connexion sécurisée Bluetooth n’est ni chiffré ni protégé en termes d’intégrité; l’établissement de connexions sécurisées Legacy Secure Connections ne nécessite pas d’authentification mutuelle; un périphérique Bluetooth peut effectuer un changement de rôle à tout moment; et les appareils qui se sont couplés à l’aide de Secure Connections peuvent utiliser Legacy Secure Connections lors de l’établissement de la connexion sécurisée.

Selon le document, plusieurs scénarios d’attaque sont possibles, en particulier pour les paires de périphériques qui utilisent les anciennes connexions sécurisées héritées pour se lier.

Par exemple, Charlie peut établir une connexion avec Alice se faisant passer pour Bob. Charlie envoie un challenge à Alice et reçoit une réponse calculée en fonction de l’adresse et de la clé à long terme. «Comme la norme Bluetooth ne rend pas obligatoire [l’utilisation de] la procédure d’authentification héritée tout en établissant une connexion sécurisée, Alice n’a pas à vérifier que Charlie connaît [la clé à long terme]», selon le journal.

Un autre scénario d’attaque implique la commutation des rôles maître et esclave. Le maître dans un appariement est celui qui demande la connexion. L’attaque ci-dessus fonctionne lorsque les attaquants usurpent l’identité du côté demandeur de la relation. Cependant, ils peuvent également se faire passer pour un appareil esclave en profitant malicieusement de la procédure de changement de rôle de Bluetooth.

«Bluetooth utilise un protocole d’accès maître-esclave pour garder le maître et l’esclave synchronisés. La norme spécifie que les rôles maître et esclave peuvent être commutés à tout moment », selon les chercheurs. «C’est problématique car Charlie peut l’utiliser pour usurper l’identité du périphérique esclave en initiant un changement de rôle et devenir le maître (vérificateur) avant le démarrage de la procédure d’authentification unilatérale, puis terminer l’établissement de la connexion sécurisée sans avoir à s’authentifier… Cette fonctionnalité de Bluetooth n’a jamais fait l’objet d’une enquête dans un contexte de sécurité et constitue donc une technique d’attaque entièrement nouvelle. »

Les appareils utilisant le protocole Secure Connections plus récent et plus puissant sont également vulnérables, en particulier aux attaques de déclasements.

«Charlie peut prétendre que le périphérique usurpé (Alice ou Bob) ne prend pas en charge Secure Connections pour rétrograder l’établissement de connexion sécurisée avec la victime vers Legacy Secure Connections», explique le document. «À la suite de la rétrogradation, Charlie et la victime utilisent la procédure d’authentification héritée plutôt que la procédure d’authentification sécurisée, et Charlie peut contourner l’authentification d’établissement de connexion sécurisée.»

Une connexion avec KNOB

Les attaques BIAS peuvent également être combinées avec l’attaque Key Negotiation of Bluetooth (KNOB), selon un avis du CERT, qui donnerait à un attaquant un accès complet au périphérique couplé.

KNOB a été découvert en août dernier. Il se produit lorsqu’un tiers parti oblige deux ou plusieurs victimes à se mettre d’accord sur une clé de chiffrement avec seulement un octet d’entropie. Une fois l’entropie réduite, l’attaquant peut forcer brutalement la clé de chiffrement et l’utiliser pour déchiffrer les communications.

Cela permettrait à un utilisateur «d’usurper l’identité d’un appareil Bluetooth, de terminer l’authentification sans posséder la clé de liaison, de négocier une clé de session avec une faible entropie, d’établir une connexion sécurisée et de forcer la clé de session par force brute», selon le CERT.

Un attaquant pourrait lancer une attaque KNOB sur la clé de chiffrement sans intervenir dans une procédure de couplage en cours via une attaque par injection. Si l’attaque KNOB réussit, un attaquant peut obtenir un accès complet en tant que périphérique couplé à distance. Si l’attaque KNOB échoue, l’attaquant ne sera pas en mesure d’établir une liaison chiffrée mais peut toujours apparaître authentifié auprès de l’hôte.

Correctifs de Bluetooth à venir

Le Bluetooth Special Interest Group (SIG) a déclaré dans un avis qu’il mettra éventuellement à jour la spécification Bluetooth Core pour clarifier quand les changements de rôle sont autorisés, pour exiger une authentification mutuelle dans l’authentification héritée et pour recommander des vérifications de type de chiffrement pour éviter une rétrogradation de connexions sécurisées au chiffrement hérité.

“Jusqu’à ce que cela se produise, le Bluetooth SIG recommande vivement aux fournisseurs de s’assurer que la réduction de la longueur de la clé de chiffrement en dessous de 7 octets n’est pas autorisée, que les hôtes initient l’authentification mutuelle lors de l’authentification héritée, que les hôtes prennent en charge le mode Connexions sécurisées uniquement lorsque cela est possible, et que l’authentification Bluetooth ne soit pas utilisée pour signaler indépendamment un changement de confiance de l’appareil sans exiger au préalable l’établissement d’une liaison chiffrée », a-t-il déclaré.

Les chercheurs ont déclaré que pour l’instant, tout appareil Bluetooth conforme aux normes devrait être vulnérable.

«Après avoir divulgué notre attaque à l’industrie en décembre 2019, certains fournisseurs pourraient avoir mis en place des solutions de mitigation pour la vulnérabilité sur leurs appareils», selon le site Web de BIAS. «Donc, la réponse courte est: si votre appareil n’a pas été mis à jour après décembre 2019, il est probablement vulnérable. Les appareils mis à jour après décembre 2019 pourraient être corrigés.»

Si cet article vous a plu, jetez un œil à notre article précédent.