Vulnérabilités critiques liées à Bluetooth

Numéro : AL17-011
Date : 13 septembre 2017

Objet

La présente alerte a pour but d'attirer l'attention sur de multiples vulnérabilités critiques touchant un vaste éventail d'appareils Bluetooth et de fournir des directives et des conseils en matière d'atténuation des risques. Des chercheurs du domaine de la sécurité ont baptisé ce groupe de vulnérabilités Bluetooth « BlueBorne ».

Évaluation

Le CCRIC a pris connaissance de multiples vulnérabilités critiques dans la mise en œuvre de la pile Bluetooth, et ce, dans de multiples versions de produits à système d'exploitation Android, Apple iOS, Microsoft Windows et Linux, entre autres. Les vulnérabilités pourraient permettre à un auteur de menaces malintentionné d'exécuter du code, d'intercepter des communications sans fil, d'abuser des fonctionnalités des appareils et/ou de lancer des attaques d'interception. Aucune exploitation active connue n'a été signalée, mais une validation de principe fonctionnelle est disponible.

Des rapports de sources ouvertes décrivant les vulnérabilités suggèrent que l'exploitation n'exige pas que l'appareil visé soit configuré de manière à pouvoir être découvert ou jumelé à l'appareil de l'auteur de menaces. De plus, aucune autorisation de l'utilisateur final n'est nécessaire, ni aucune authentification pour que la connexion soit établie.

Le CCRIC recommande aux équipes de la sécurité de l'information de surveiller les mises à jour futures des fabricants et d'appliquer les correctifs de sécurité pertinents lorsqu'ils seront publiés. Voici une liste des produits potentiellement touchés et des versions pertinentes :

Android
Toutes les versions des téléphones, tablettes et appareils à porter sur soi Android sont touchés par les quatre vulnérabilités suivantes :

Les appareils Android qui utilisent seulement Bluetooth Low Energy ne sont pas touchés.
Les vulnérabilités touchant les appareils Android exécutant les systèmes d'exploitation Marshmallow (6.0) et Nougat (7.0) ont été éliminées dans le Bulletin de sécurité Android de Google publié le 12 septembre 2017.

Apple
La vulnérabilité ci-dessous touchant les appareils iPhone, iPad et iPod Touch exécutant le système d'exploitation iOS 7 à 9 et les appareils Apple TV ayant la version 7.2.2 et versions antérieures :

La vulnérabilité touchant les appareils Apple a été éliminée dans le système d'exploitation iOS 10, diffusé en septembre 2016.

Microsoft
Les versions 10, 8.1, 7, Server 2016 et Server 2008 de Windows sont touchées par la vulnérabilité suivante :

La vulnérabilité touchant les appareils Microsoft a été éliminée par une mise à jour de sécurité diffusée le 12 septembre 2017.

Linux
Les appareils Linux exécutant la version BlueZ 5.46 et les versions antérieures sont touchés par :

La vulnérabilité touchant les appareils Red Hat Enterprise Linux 7 et 6 a été éliminée par une mise à jour de sécurité diffusée par Red Hat le 12 septembre 2017.

Les versions du noyau Linux 3.3-rc1 jusqu'à la version 4.13.1, inclusivement, sont touchées par la vulnérabilité suivante :

Red Hat Enterprise Linux 5 n'est pas touché.

La vulnérabilité touchant les appareils Red Hat Enterprise Linux 7, 6 et MRG 2 a été éliminée par une mise à jour de sécurité diffusée par Red Hat le 12 septembre 2017.

Mesure suggérée

Le CCRIC recommande aux personnes qui utilisent des appareils Bluetooth de consulter le fabricant afin d'obtenir des conseils précis pour l'atténuation du risque et obtenir les correctifs disponibles. Dans le cas d'applications non critiques, le CCRIC recommande d'envisager la désactivation des communications sans fil Bluetooth. En ce qui a trait aux applications essentielles pour la mission ou pour le maintien de la vie, il faut évaluer les conséquences potentielles de la désactivation de Bluetooth, ainsi que les risques en fonction de l'environnement où l'on utilise le ou les appareils Bluetooth. De plus, le protocole Bluetooth offre une portée de transmission sans fil poste à poste de 10 à 100 mètres dans bon nombre d'appareils mobiles courants. Il faut tenir compte de cet aspect de la situation lors de l'application de mesures d'atténuation.

Références

https://www.kb.cert.org/vuls/id/240311
https://source.android.com/security/bulletin/2017-09-01
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-14315
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-8628
https://access.redhat.com/security/vulnerabilities/blueborne
https://access.redhat.com/security/cve/CVE-2017-1000250
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-1000250
https://access.redhat.com/security/cve/CVE-2017-1000251
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-1000251

Note aux lecteurs

En appui à la mission de Sécurité publique Canada de bâtir un Canada sécuritaire et résilient, le mandat du CCRIC est d'aider à assurer la sécurité et la résilience des cybersystèmes essentiels non gouvernementaux à la base de la sécurité nationale, de la sécurité publique et de la prospérité économique du pays. À titre d'équipe d'intervention en cas d'incident lié à la sécurité informatique du Canada, le CCRIC agit comme centre national de coordination pour la prévention, l'atténuation, l'intervention et le rétablissement liés aux incidents cybernétiques commis contre des systèmes non fédéraux. Pour ce faire, il formule des conseils éclairés, offre du soutien et coordonne l'échange de renseignements ainsi que l'intervention.

S'il vous plaît noter que la clé PGP du CCRIC a récemment été mise à jour.
http://www.securitepublique.gc.ca/cnt/ntnl-scrt/cbr-scrt/_fl/CCIRCPublicPGPKey.txt

Pour obtenir des renseignements de nature générale, veuillez communiquer avec la division des Affaires publiques de l'organisme :

Téléphone : 613-944-4875 ou 1-800-830-3118  
Télécopieur : 613-998-9589 
Courriel : ps.communications-communications.sp@canada.ca

Date de modification :