BlueZ est un logiciel qui met en œuvre la technologie sans fil Bluetooth sur les systèmes d'exploitation GNU/Linux. Il a été créé au départ par Max Krasnyansky de la société Qualcomm, mais la société l’a rendu open source et l’a publié sous licence GNU GPL en 2001. BlueZ est par la suite devenu la mise en œuvre Bluetooth de référence pour Linux et a été intégré au noyau. Il fait officiellement partie du noyau Linux depuis la version 2.4.6. En dehors des ordinateurs portables sous Linux, BluZ est utilisé dans de nombreux appareils Internet grand public ou industriels.
L’ingénieur de Google, Andy Nguyen, à l’origine de la découverte a baptisé la faille BleedingTooth, mais pour le moment, il y a très peu d’informations sur elle. Toutefois, il a promis d’apporter plus d'éclaircissement sur le sujet dans les prochains jours. En attendant, dans un tweet et une vidéo sur YouTube, il a fourni quelques détails sur la vulnérabilité. Selon ces sources, le bogue représente un moyen fiable pour les attaquants proches d'exécuter le code malveillant de leur choix sur les appareils Linux vulnérables, en particulier les appareils Linux avec la version 4.8 ou supérieures, sauf la version 5.9.
Google a détaillé la vulnérabilité sur le dépôt de recherche de sécurité de la société sur GitHub. Dans la vidéo, Nguyen a montré comment l'attaque peut se produire en utilisant des commandes sur un ordinateur portable Dell XPS 15 alimenté par Ubuntu pour ouvrir la calculatrice sur un second ordinateur portable Dell, toujours sous Ubuntu, sans qu'aucune action ne soit effectuée sur ce dernier. De même, il faut noter que BlueZ contient plusieurs modules Bluetooth, y compris le noyau du sous-système central du Bluetooth et les couches du noyau audio L2CAP et SCO.
D’après Francis Perry de l'équipe de réponse aux incidents de sécurité des produits de Google, un attaquant à portée de Bluetooth ayant l'adresse du périphérique Bluetooth de la cible (adresse bd) peut exécuter un code arbitraire avec les privilèges du noyau. « Un attaquant à courte distance qui a l’adresse bd de la victime peut envoyer un paquet l2cap malveillant et provoquer un déni de service ou éventuellement l'exécution de code arbitraire avec les privilèges du noyau. Les puces Bluetooth malveillantes peuvent également déclencher la vulnérabilité », a écrit Perry.
Google a publié un code d'exploitation de preuve de concept pour la vulnérabilité BleedingTooth. Il a aussi promis de publier prochainement de plus amples informations sur BleedingTooth sur le blogue de sécurité de la société. De son côté, Intel a publié un bulletin qui classe la faille comme une vulnérabilité d’escalade des privilèges ou une vulnérabilité permettant la divulgation de données. Le document publié par l’équipementier donne une note de gravité de 8,3 sur 10 au CVE-2020-12351, l'un des trois bogues distincts qui composent BleedingTooth.
« Les vulnérabilités potentielles de sécurité dans BlueZ peuvent permettre une escalade des privilèges ou la divulgation d'informations », a écrit Intel. « BlueZ publie des correctifs du noyau Linux pour remédier à ces failles potentielles », a-t-il ajouté. L’entreprise a proposé quelques correctifs que vous pourriez installer si une mise à niveau du noyau n'est pas possible. La faille existe, mais des experts en sécurité estiment qu’il n’y a aucune raison de paniquer, car comme presque toutes les failles de sécurité liées au Bluetooth, BleedingTooth nécessite la proximité d'un appareil vulnérable.
Il nécessite également des connaissances hautement spécialisées et ne fonctionne que sur une infime partie des appareils Bluetooth du monde. Ces limitations réduisent considérablement le nombre de personnes, si tant est qu'il y en ait, qui sont en mesure de mener à bien une attaque.
Sources : Google, Document d’Intel
Et vous ?
Qu'en pensez-vous ?
Voir aussi
Linux 5.9 est disponible. Cette version augmente les performances du processeur avec la prise en charge de FSGSBASE et comporte diverses nouvelles fonctionnalités et améliorations
UOS Linux : faites la connaissance du nouvel OS chinois capable de « booter en 30 s » sur des processeurs locaux et sur lequel le pays compte pour remplacer Windows
Linux : Microsoft offre jusqu'à 100 000 $ à qui peut pirater sa version personnalisée du système d'exploitation dédiée à la sécurisation de ses solutions d'entreprise pour l'IoT