Sécurité IT : la fragilité du Bluetooth

Introduite dans la version 4.0 des spécifications du Bluetooth publiée en juin 2010, la technologie BLE (« Bluetooth Low Energy ») se répand dans l’univers des objets connectés avec des fonctions de sécurité renforcées… mais dont l’implémentation laisse souvent à désirer.

C’est l’un des principaux constats établis par Context Information Security dans le cadre d’une étude dont les résultats ont été publiés la semaine passée.

Le cabinet britannique de conseil en sécurité informatique s’est penché sur le développement commercial du BLE, non compatible avec le Bluetooth « traditionnel », bien que certains appareils prennent en charge l’un et l’autre protocole.

Il en a conclu que le principal usage résidait encore, à l’heure actuelle, dans les iBeacons. Ces balises Bluetooth n’ont qu’une fonction : elles diffusent en continu des paquets de données contenant un identifiant unique.

L’association de ces informations à une application – généralement mobile – permet de déclencher des actions. Context donne l’exemple de compagnies aériennes qui ont intégré la technologie dans les halls d’embarquement pour communiquer automatiquement le mot de passe du Wi-Fi à leurs passagers.

Dans le cas des iBeacons, l’utilisation du BLE (qui consomme en moyenne 10 mW, contre 100 mW pour le Wi-Fi) permet de tenir plusieurs années sur une même source d’alimentation, souvent une pile ronde.

Si la technologie, basée sur un système développé par Apple, est aujourd’hui essentiellement centrée sur iOS, elle est tout à fait utilisable sur Android. Google a d’ailleurs mis en place un dispositif similaire dans la version 5.0 de son OS : Android Trusted Places and Trusted Devices, qui déverrouille automatiquement un appareil lorsqu’il se trouve dans un endroit connu ou à proximité d’un autre objet Bluetooth « de confiance ».

Le BLE est aussi très présent dans le monde de l’informatique vestimentaire, à travers les smartwatchs, les bracelets santé/fitness ou encore les casques audio. L’heure est plutôt à l’association de ces différentes fonctions, avec par exemple des oreillettes qui mesurent le rythme cardiaque.

Manque de rigueur

Fonctionnant sur la bande de fréquences à 2,4 GHz tout comme le Bluetooth et le Wi-Fi, le BLE dispose théoriquement d’une portée de 100 mètres en terrain dégagé. Sauf que dans la pratique, la distance est souvent bien plus longue, à cause d’anomalies dans la propagation des ondes radio. Une antenne directionnelle présentant un gain suffisamment important (19 dBi dans l’expérience menée par Context) peut suffire à détecter un appareil à plus d’un demi-kilomètre.

C’est là que s’ouvre la boîte de Pandore : tous les objets connectés en BLE émettent en permanence des paquets de données pour signaler leur présence et permettre l’association avec d’autres équipements.

Parmi les informations communiquées figure l’adresse MAC (« Media Access Control »), qui fait office d’identifiant unique. Pour des raisons de sécurité, elle est modifiée de manière aléatoire grâce à un mécanisme baptisé « LE Privacy ».

Problème : la fonction est souvent mal implémentée. Dans certains cas, l’adresse reste tout simplement fixe, y compris après redémarrage (les bracelets FitBit sont en première ligne). Chez Nike et Xiaomi, les adresses MAC changent, mais débutent toutes par la même série : 9C:A1:34 chez le premier et 88:0F:10 chez le second.

Et lorsque la randomisation fonctionne, elle est souvent trop évidente à deviner. Le cas typique est celui du changement des derniers octets de l’adresse MAC. Par ailleurs, les « paquets de présence » contiennent souvent d’autres informations : nom du constructeur, modèle d’appareil…

Enfin, le chiffrement standard associé au BLE n’est pas toujours mis en oeuvre. Les fabricants lui préfèrent souvent une technologie propriétaire… que l’on peut assez facilement déjouer, selon Context.

Si l’on y ajoute le fait que certains « wearables » mesurent la qualité du sommeil et résistent à l’eau, on peut considérer qu’il est possible de pister en continu les individus qui les portes. Le tout grâce à un simple smartphone équipé de l’application RaMBLE développée par Context pour illustrer ses propos.

Crédit photo : voyager624 – Shutterstock.com