Bluetooth, porte d’entrée sur votre téléphone mobile

Par Ludovic Blin, secuobs.com
Le 20/04/2005

---

Résumé : Une présentation réalisée à la conférence BlackHat Europe 2005 par l’équipe de Trifinite.org résume les nombreuses failles permettant d’exploiter a distance un mobile ayant les fonctions Bluetooth activées. - Lire l'article



Une présentation réalisée à la conférence BlackHat Europe 2005 par l’équipe de Trifinite.org résume les nombreuses failles permettant d’exploiter a distance un mobile ayant les fonctions Bluetooth activées.
Les constructeurs et opérateurs de téléphones mobiles referaient ils les mêmes erreurs que les éditeurs de logiciels pour ordinateurs en matière de sécurité ? On peut effectivement se poser cette question au vu des failles de plus en plus nombreuses découvertes dans les terminaux mobiles, qui équipent une partie sans cesse croissante de la population mondiale. Au cours de la conférence Black Hat Europe 2005, qui s’est tenue au debut du mois d’avril a Amsterdam, l’équipe de Trifinite.org a présenté une synthèse des principales failles dans les implémentations du protocole Bluetooth, ainsi qu’un outil d’audit Java destiné à être installé sur un mobile. Ce groupe est notamment composé de Adam Laurie (maintainer de Apache-SSL et organisateur de Defcon), Martin Herfurt (chercheur a l’université de Salzburg) et Marcel Hoffman (dévellopeur principal de la pile bluetooth linux BlueZ).

La première des failles découverte dans les implémentations de Bluetooth est dénommée BlueSnarfing. Celle-ci est publique depuis un peu moins de 2 ans et permet essentiellement de voler des données présentes au sein des téléphones mobiles. Il est ainsi possible de récupérer le calendrier du téléphones ou encore les images enregistrées. Plus inquiétant, le répertoire de la cible peut être downloadé ou encore ses codes PINs. Cette attaque fait appel au protocole OBEX et plus spécifiquement a la commande « PULL ». De nombreux mobiles sont vulnérables et notamment les Nokia 6310(i) et 8910(i), ainsi que les Ericsson T68, T68i, R520m, T610 et Z1010.

Un certains nombre de téléphones Motorola peuvent également être exploité en utilisant OBEX (V80, V5xx, V6xx et E398), via la commande PUSH qui permet de créer une entrée dans la liste des appareils Bluetooth connectés au mobile. Cette attaque, connue sous le nom HeloMoto, donne un acces complet au commandes AT (Ascii Terminal). Ces dernières, notamment utilisées par les oreillettes bluetooth, donnent un accès à toutes les fonctions du téléphones, y compris les appels et l’envoi des messages SMS.

La seconde méthode d’exploitation, dénommée BlueBug, est quant a elle encore plus intéressante. Elle a été découverte il y a un peu plus d’un an et les détails techniques complets ont été rendues publics fin décembre 2004. Basée uniquement sur les commandes AT, et non plus sur OBEX, elle donne un haut niveau de contrôle du téléphone mobile, permettant d’agir sur les entrées du répertoire (lecture/ecriture), les messages SMS (lecture/ecriture) ainsi que la gestion des appels. Il est même possible de définir des numéros de renvoi automatique d’appel, permettant à ce moment d’intercepter les communications émises depuis le téléphone. Cette faille provient d’une mauvaise implémentation de la pile Bluetooth sur de nombreux téléphones mobiles, et notamment de la présences de services non publiés sur les canaux RFCOMM. De nombreux modèles de Nokia sont concernés (6310, 6310i, 8910, 8910i) ainsi qu’un certain nombre de Sony Ericsson (T86i, T610). Notons que les mêmes bugs sont présents chez plusieurs constructeurs de mobiles, ce qui laisse penser que les mêmes composants se retrouvent dans de nombreux mobiles.

Par ailleurs, si l’on pouvait se croire protéger par la faible portée des communications bluetooth (normalement quelques mêtres), il n’en est rien. La même équipe a récemment démontré qu’il était possible en utilisant une simple clé USB Bluetooth d’augmenter drastiquement la portée. La méthode est simple : il suffit de brancher une antenne directionnelle sur la clé (au prix de quelques soudures) qui sera elle-même montée sur un fusil a lunette pointant vers la cible. En utilisant cette méthode, il a été possible de réaliser ces attaques à une distance de 1,78 Km, soit beaucoup plus que la portée normale.

L’outil Blooover a également été présenté. Il s’agit d’une application Java qui s’installe sur un téléphone mobile Bluetooth et permet de réaliser les attaques BlueBug sur tous les autres mobiles présents a proximité. Notons que cette application, disponible en téléchargement est verrouillé, toutes les fonctions pouvant couter de l’argent a la cible étant desactivées. Elle nécessite un téléphone implémentant la norme J2ME MIDP2.0 ainsi que l’API Bluetooth JSR-82.

Les techniques de Blueprinting permettent par ailleurs d’identifier les dispositifs Bluetooth, et l’attaque Bluesmack permet de causer des déni de service sur les terminaux mobiles via L2CAP (sans nécessiter un canal L2CAP ouvert). Il est également possible de sniffer les communications via l’outil hcidump (sous linux). Enfin, une commande AT obscure et peu documentée permettrait de flasher a distance le firmware d’un grand nombre de téléphones portables, les rendant inutilisables.

Selon le groupe Trifinite.org, ces failles ne proviendrait pas du standard Bluetooth, qui est sur en tant que tel, mais de l’implémentation qui en a été faite par les constructeurs de mobiles. Les problèmes se situent donc principalement au niveau applicatifs. Il peut donc être particulièrement dangereux d’activer Bluetooth sur son mobile. Malheureusement, le caractère pratique des oreillettes aidant, de plus en plus d’utilisateurs en font usage. Ce qui laisse potentiellement la place à de nombreux problèmes de sécurité, en particulier si des codes malicieux se mettent à faire un usage extensifs de ces bugs.