périphériques-Bluetooth-vulnérables-suivi
En 2018, près de 3,7 milliards de nouveaux appareils compatibles Bluetooth ont été achetés par les consommateurs dans le monde entier. Des téléphones aux haut-parleurs, en passant par les thermostats et les réfrigérateurs, les appareils ménagers et les appareils personnels, y compris les «appareils portables», deviennent de plus en plus connectés via le Wi-Fi, créant ainsi ce que l’on appelle l’Internet des objets (IoT).

Les appareils Bluetooth exposent les utilisateurs à un suivi

En théorie, la connexion de périphériques via l’IoT permet aux utilisateurs d’automatiser ou de contrôler de manière transparente des tâches numériques, mais une nouvelle étude de l’Université de Boston suggère que ces périphériques compatibles Bluetooth pourraient transmettre votre position et vos habitudes à des observateurs tiers.
David Starobinski, professeur d’ingénierie électrique et informatique au BU College of Engineering, et une équipe de chercheurs ont découvert une vulnérabilité dans plusieurs appareils Bluetooth très populaires, notamment la célèbre montre Fitbit de suivi des séances d’entraînement, qui pourrait permettre à des tiers d’obtenir des informations personnelles comme votre localisation et vos activités.
Les chercheurs expliquent que les fuites d’informations proviennent de la façon dont différents périphériques Bluetooth communiquent entre eux pour établir une connexion. Avant qu’une paire de périphériques Bluetooth puisse commencer à transmettre des informations, ils doivent d’abord déterminer quel périphérique jouera un rôle central dans la connexion et quel périphérique jouera un rôle périphérique.
Par exemple, si vous essayez de connecter une paire d’écouteurs Bluetooth à votre iPhone, l’iPhone jouerait le rôle de périphérique central et les écouteurs seraient les périphériques, explique Becker. Une fois que la hiérarchie de la paire est établie, le périphérique central commence à rechercher les signaux envoyés par le périphérique qui indiquent qu’il est disponible pour la connexion. Ces signaux contiennent une adresse unique, similaire à l’adresse IP d’un ordinateur, et une charge utile contenant des données sur la connexion.

L’équipe a découvert un oubli

La plupart des appareils produisent des adresses aléatoires qui sont automatiquement reconfigurées périodiquement, au lieu de conserver une adresse permanente, dans le but d’améliorer la confidentialité. Cela a été conçu pour dissuader des observateurs de capturer les données, mais l’équipe de Starobinski a découvert un oubli dans ce processus permettant de suivre un périphérique alors même que son adresse change.
«Pour un utilisateur ces données utiles pourraient simplement être un nombre, ce qui n’est pas un problème, déclare Becker. « Mais nous avons essayé cette procédure: » prenons ces données aléatoires et supposons qu’il s’agisse d’un identifiant unique du périphérique ». Nous avons ensuite constaté que cet identificateur ne changeait pas en même temps que l’adresse. »
Étant donné que les informations sur la charge utile sont mises à jour à un débit différent de celui de l’adresse, les communications entre des périphériques Bluetooth brossent un motif identifiable. Après avoir découvert cette vulnérabilité, les chercheurs ont décidé de vérifier dans quelle mesure une tierce partie pourrait l’utiliser pour suivre des périphériques.
Ils ont modifié un algorithme de «sniffer» open source déjà existant et ont découvert, heureusement pour les utilisateurs d’Android, que ces périphériques ne possédaient pas le blip de communication identifiable qui les rendrait vulnérables. au suivi. En revanche, Windows 10 et iOS peuvent susciter plus d’inquiétude, car bon nombre de ces appareils ont des défauts de communication qui les rendent traçables.
Ils ont également constaté que les dispositifs portables, comme les Fitbit, et les stylos intelligents ne présentaient aucun changement d’adresse ou randomisation, ce qui les rendait extrêmement susceptibles au suivi même sans l’utilisation d’un algorithme de détection.

Des résultats complètement inattendus

«Ce qui m’a le plus surpris, c’est de découvrir une vulnérabilité avec les suivis d’activité d’un Fitbit», a déclaré David Li, un chercheur, qui a contribué à cette étude. «Le redémarrage de l’appareil ou l’épuisement de la batterie n’a pas modifié son adresse d’accès. C’était complètement inattendu. Si l’adresse d’accès du Fitbit ne change jamais, un pirate informatique peut potentiellement suivre un propriétaire d’un Fitbit. »
Bien que cette faille de sécurité ne sacrifie pas les données personnelles des utilisateurs, les chercheurs affirment qu’un pirate informatique pourrait en tirer parti et créer un réseau d’ordinateurs, appelé « réseau de robots », permettant de suivre un appareil à de plus grandes distances ou de combiner des informations de suivi avec davantage de données personnelles provenant d’appareils IoT accessibles via le Wi-Fi pour créer une image plus détaillée de l’utilisateur.
Cela dit, les auteurs soulignent que pour combler cette lacune en matière de sécurité, il suffit d’éteindre et de rétablir la connexion Bluetooth de votre appareil, du moins dans le cas des appareils Windows 10 et iOS. Pour les appareils portables intelligents comme le Fitbit ou les accessoires tels que les stylos intelligents, les chercheurs affirment qu’un utilisateur ne peut pas faire grand-chose quant aux signaux qu’il diffuse.

Des appareil qui n’offrent pas le contrôle du Bluetooth

«Il existe une multitude de moyens de suivre des personnes, avec ou sans Bluetooth», déclare Becker. «C’est toujours une bonne chose de savoir quels types de signaux vous envoyez, en particulier à l’ère de l’internet des objets. Je suis beaucoup plus sceptique à l’égard de ces appareils qui ne vous donnent pas le contrôle du Bluetooth, tels que les smartwatches, où vous pouvez simplement supposer qu’ils diffusent quelque chose en permanence.
Un document a été publié sur cette recherche dans Proceedings on Privacy Enhancing Technologies.
Source : Boston University
Crédit photo sur Unsplash : Lloyd Dirks

Les périphériques Bluetooth sont vulnérables au suivimartinTechnologie
En 2018, près de 3,7 milliards de nouveaux appareils compatibles Bluetooth ont été achetés par les consommateurs dans le monde entier. Des téléphones aux haut-parleurs, en passant par les thermostats et les réfrigérateurs, les appareils ménagers et les appareils personnels, y compris les «appareils portables», deviennent de plus en...