Les Technologies de l’information mettent en garde les administrateurs de systèmes et les responsables informatiques au sujet de vulnérabilités qui touchent des systèmes utilisant la technologie « Bluetooth ».
De nombreuses vulnérabilités critiques liées à la technologie « Bluetooth » affectent plusieurs systèmes d’exploitation, dont Android, Apple iOS, Microsoft Windows, ainsi que des produits basés sur Linux. Ces vulnérabilités peuvent être exploitées dans un scénario d'attaque appelée "BlueBorne".
Ainsi, un acteur malveillant situé dans un rayon de 10 à 100 mètres pourrait exécuter du code arbitraire et intercepter les communications sans fil ou abuser de fonctionnalités du périphérique sans que l'appareil ciblé soit configuré en mode détectable ou couplé au dispositif de l'attaquant. Bien qu'aucun cas d'exploitation connue n'ait été signalé, une preuve de concept opérationnelle est tout de même disponible.
Vous trouverez ci-dessous la liste des produits vulnérables pour lesquels des correctifs ont été publiés. Dans le cas où il n'existerait pas de correctifs pour un dispositif vulnérable, il est recommandé de désactiver les communications sans fil « Bluetooth ».
Produit | Détails | Solution |
Android | Téléphones, tablettes, appareils "Android Wear" (toutes les versions à l'exception des dispositifs qui utilisent "Bluetooth Low Energy"). | Les vulnérabilités des versions Marshmallow (6.0) et Nougat (7.0) ont été corrigées dans le cadre du Bulletin de sécurité Google Android du 12 septembre 2017. |
Apple
| iPhone, iPad et iPod Touch fonctionnant sous iOS 7 à 9 et Apple TV version 7.2.2 et antérieure | Mise à jour d'iOS 10 de septembre 2016. |
Microsoft | Windows 10, 8.1, 7, Server 2016 et Server 2008. | Mises à jour mensuelles de Microsoft du 12 septembre 2017. |
Linux | RedHat Enterprise Linux 7 et 6, et MRG2. | Mise à jour RedHat du 12 septembre 2017. |
Pour plus d’information au sujet de cet avis, veuillez consulter les liens web suivants :
- https://www.kb.cert.org/vuls/id/240311
- https://source.android.com/security/bulletin/2017-09-01
- https://access.redhat.com/security/vulnerabilities/blueborne
- https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-8628
- https://access.redhat.com/security/cve/CVE-2017-1000250
- https://access.redhat.com/security/cve/CVE-2017-1000251
- https://www.armis.com/blueborne/
- http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-14315
- http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-1000250
- http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-1000251
Pour toutes questions concernant ce message, veuillez communiquer avec l’équipe Sécurité des Technologies de l’information, par courriel à l’adresse « securite@umontreal.ca ».
Vue d'ensemble
Gestion des contenus