IPB

Bienvenue invité ( Connexion | Inscription )

 
Reply to this topicStart new topic
> Une nouvelle faille Bluetooth découverte, Réactions à la publication du 17/08/2019
Options
Lionel
posté 17 Aug 2019, 07:27
Message #1


BIDOUILLE Guru
*****

Groupe : Admin
Messages : 55 328
Inscrit : 14 Jan 2001
Lieu : Paris
Membre no 3



Le Bluetooth SIG a annoncé la découverte d'une nouvelle faille dans son protocole.
En résumé, elle permet à une personne malintentionnée et à portée de deux appareils bluetooth en cours d'appairage de les forcer à se connecter entre eux en utilisant une clé de chiffrement courte aisée à déchiffrer par une attaque en force brute.
L'attaquant peut alors interférer et déchiffrer les échanges de données.

Si cela n'a pas d'importance avec un périphérique audio, on imagine aisément ce que cela donne avec un clavier dont on peut intercepter les frappes ou se substituer à lui pour envoyer des commandes à une machine.

La faille est dorénavant comblée (y compris dans les produits Apple). Le Bluetooth SIG exige maintenant une clé de chiffrement d'une longueur minimale et il suffit qu'un seul des appareils concernés soit patché pour qu'il devienne impossible de l'exploiter.

Lien vers le billet original



--------------------
C'est parce que la vitesse de la lumière est plus grande que celle du son que tant de gens paraissent brillants avant d'avoir l'air con
Go to the top of the page
 
+Quote Post
iAPX
posté 17 Aug 2019, 16:30
Message #2


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 15 371
Inscrit : 4 Jan 2006
Lieu : dtq
Membre no 52 877



Ah le bluetooth et sa collection de failles directement dans le protocole, ou indirectement via son usage dry.gif

La victoire écrasante du confort sur la sécurité...


--------------------
Utilisateur de Mac depuis 1985 et possesseur de Mac depuis 2005. Utilisateur d'un PC Lenovo au travail, sous Windows, qui renforce ma passion pour les Mac!
Go to the top of the page
 
+Quote Post
linus
posté 17 Aug 2019, 23:12
Message #3


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 1 651
Inscrit : 24 Jun 2004
Lieu : Grenoble
Membre no 20 409



Citation (iAPX @ 17 Aug 2019, 17:30) *
Ah le bluetooth et sa collection de failles directement dans le protocole, ou indirectement via son usage dry.gif

La victoire écrasante du confort sur la sécurité...

N'est ce pas aussi le cas du paiement sans contact ?
Au fait, les fortes inquiétudes au moment de sa mise en service se sont elles concrétisées ?
Go to the top of the page
 
+Quote Post
iAPX
posté 17 Aug 2019, 23:38
Message #4


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 15 371
Inscrit : 4 Jan 2006
Lieu : dtq
Membre no 52 877



Citation (linus @ 17 Aug 2019, 18:12) *
Citation (iAPX @ 17 Aug 2019, 17:30) *
Ah le bluetooth et sa collection de failles directement dans le protocole, ou indirectement via son usage dry.gif

La victoire écrasante du confort sur la sécurité...

N'est ce pas aussi le cas du paiement sans contact ?
Au fait, les fortes inquiétudes au moment de sa mise en service se sont elles concrétisées ?

Elles semblent, au moins pour les banques qui limitent les montants ainsi payables, mais aussi en exploitant le passage de la monnaie sonnante et trébuchante vers l'électronique pour analyser voir revendre les habitudes d'achats de leurs clients...

C'est quand-même mieux que les banques sachent enfin qui achète, quand et où (et souvent quoi, comme la baguette quotidienne), pour pouvoir analyser plus finement les comportements des personnes.
C'est vraiment mieux de pouvoir enfin échanger ces informations avec FaceBook (quelques banques pour l'instant, mais ça vient gentiment) et le marché souterrain de la revente de la vie privée, incluant les assureurs et toutes sortes de compagnies vraiment louches.

La victoire du confort sur la sécurité!

PS: évidemment que les paiements sans contact sont moins sûr (pas de code à rentrer, simple facteur), et c'est pour ça que les banques plafonnent les montants!

Ce message a été modifié par iAPX - 17 Aug 2019, 23:54.


--------------------
Utilisateur de Mac depuis 1985 et possesseur de Mac depuis 2005. Utilisateur d'un PC Lenovo au travail, sous Windows, qui renforce ma passion pour les Mac!
Go to the top of the page
 
+Quote Post
Xuros
posté 18 Aug 2019, 01:08
Message #5


Macbidouilleur de vermeil !
****

Groupe : Membres
Messages : 1 349
Inscrit : 7 Nov 2004
Lieu : Los Angeles, CA
Membre no 26 518



Citation (linus @ 17 Aug 2019, 14:12) *
Citation (iAPX @ 17 Aug 2019, 17:30) *
Ah le bluetooth et sa collection de failles directement dans le protocole, ou indirectement via son usage dry.gif

La victoire écrasante du confort sur la sécurité...

N'est ce pas aussi le cas du paiement sans contact ?
Au fait, les fortes inquiétudes au moment de sa mise en service se sont elles concrétisées ?

C'est vrai qu'avant le paiement sans contact on ne se faisait jamais voler son numero de carte bancaire. Et avant les cartes bancaires les petites vieilles ne se faisaient jamais arracher leur sac a main etc...


--------------------
MacBook Pro M1 / iPhone
Go to the top of the page
 
+Quote Post
iAPX
posté 18 Aug 2019, 02:31
Message #6


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 15 371
Inscrit : 4 Jan 2006
Lieu : dtq
Membre no 52 877



Citation (Xuros @ 17 Aug 2019, 20:08) *
Citation (linus @ 17 Aug 2019, 14:12) *
Citation (iAPX @ 17 Aug 2019, 17:30) *
Ah le bluetooth et sa collection de failles directement dans le protocole, ou indirectement via son usage dry.gif

La victoire écrasante du confort sur la sécurité...

N'est ce pas aussi le cas du paiement sans contact ?
Au fait, les fortes inquiétudes au moment de sa mise en service se sont elles concrétisées ?

C'est vrai qu'avant le paiement sans contact on ne se faisait jamais voler son numero de carte bancaire. Et avant les cartes bancaires les petites vieilles ne se faisaient jamais arracher leur sac a main etc...

Le paiement sans contact n'enlève aucun des risques pré-existant, mais au contraire augmente ce qu'on appelle la surface d'attaque.

C'est exactement pour cela que les banques limitent les montant payés sans contact: elles ont conscience du risque associé à ce confort et ça devrait suffire pour se faire un avis!

Et c'est comme le bluetooth, un confort d'usage qui prend le pas sur la sécurité. Ça n'est pas une liberté mais un confort, et en tant que tel on devrait le refuser si il est perclus de failles de sécurité.
Dans les deux cas d'ailleurs ça atteint la protection de la vie privée, en se souvenant que Apple expose via le Bluetooth avec iOS les numéros de téléphone personnels même d'ados ou d'enfants, ainsi que dans certains cas leur adresse email perso aussi.
Le bluetooth sert aussi à tracer les gens dans les magasins, les centre commerciaux, les festivals ou évènements. Je le sais de première bourre.

TL;DR ça n'est pas la sécurité contre la liberté, c'est le confort d'usage qui fait perdre à la fois la sécurité mais aussi sa liberté

Ce message a été modifié par iAPX - 18 Aug 2019, 02:49.


--------------------
Utilisateur de Mac depuis 1985 et possesseur de Mac depuis 2005. Utilisateur d'un PC Lenovo au travail, sous Windows, qui renforce ma passion pour les Mac!
Go to the top of the page
 
+Quote Post
Xuros
posté 18 Aug 2019, 03:41
Message #7


Macbidouilleur de vermeil !
****

Groupe : Membres
Messages : 1 349
Inscrit : 7 Nov 2004
Lieu : Los Angeles, CA
Membre no 26 518



Citation (iAPX @ 17 Aug 2019, 17:31) *
Citation (Xuros @ 17 Aug 2019, 20:08) *
Citation (linus @ 17 Aug 2019, 14:12) *
Citation (iAPX @ 17 Aug 2019, 17:30) *
Ah le bluetooth et sa collection de failles directement dans le protocole, ou indirectement via son usage dry.gif

La victoire écrasante du confort sur la sécurité...

N'est ce pas aussi le cas du paiement sans contact ?
Au fait, les fortes inquiétudes au moment de sa mise en service se sont elles concrétisées ?

C'est vrai qu'avant le paiement sans contact on ne se faisait jamais voler son numero de carte bancaire. Et avant les cartes bancaires les petites vieilles ne se faisaient jamais arracher leur sac a main etc...

Le paiement sans contact n'enlève aucun des risques pré-existant, mais au contraire augmente ce qu'on appelle la surface d'attaque.

C'est exactement pour cela que les banques limitent les montant payés sans contact: elles ont conscience du risque associé à ce confort et ça devrait suffire pour se faire un avis!

Hein? Y'a pas de limite avec Apple Pay. Tu peux meme acheter une Tesla avec (en tout cas aux US)
Quant aux risques c'est pourtant évident... avec Apple Pay pas besoin de sortir ta carte et donc de risquer de l'égarer... ca m'est arrivé une fois et le temps de faire opposition des mecs l'avait utilisée pour acheter des trucs sur Amazon (c'était il y a longtemps).


--------------------
MacBook Pro M1 / iPhone
Go to the top of the page
 
+Quote Post
iAPX
posté 18 Aug 2019, 12:38
Message #8


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 15 371
Inscrit : 4 Jan 2006
Lieu : dtq
Membre no 52 877



Citation (Xuros @ 17 Aug 2019, 22:41) *
...
Hein? Y'a pas de limite avec Apple Pay. Tu peux meme acheter une Tesla avec (en tout cas aux US)
Quant aux risques c'est pourtant évident... avec Apple Pay pas besoin de sortir ta carte et donc de risquer de l'égarer... ca m'est arrivé une fois et le temps de faire opposition des mecs l'avait utilisée pour acheter des trucs sur Amazon (c'était il y a longtemps).

Effectivement Apple Pay est du paiement sans contact, mais en 2FA (appareil + code ou biométrie) théoriquement aussi sûr que du 2FA (carte + code PIN), et moi je parlais du paiement sans contact en 1FA avec les cartes de débit/crédit actuelles.

Le parallèle entre ses cartes 1FA qui permettent le paiement sans contact et les problèmes amenés par le bluetooth (standardS, implémentations, et usages) est assez évident: comme toujours le confort gagne contre la sécurité...

Ce message a été modifié par iAPX - 18 Aug 2019, 13:00.


--------------------
Utilisateur de Mac depuis 1985 et possesseur de Mac depuis 2005. Utilisateur d'un PC Lenovo au travail, sous Windows, qui renforce ma passion pour les Mac!
Go to the top of the page
 
+Quote Post

Reply to this topicStart new topic
1 utilisateur(s) sur ce sujet (1 invité(s) et 0 utilisateur(s) anonyme(s))
0 membre(s) :

 



Nous sommes le : 28th March 2024 - 15:00