La psychose de la sécurité Bluetooth commence!
On a encore tous en mémoire le buzz qui a été fait en 2002–2003 autour de la sécurité WiFi… Tous les journalistes se sont jetés comme sur du pain béni sur le fait que le protocole WEP, le seul moyen “simple” de protéger le WiFi avait un bug… et pouvait être craqué après 2 à 4h d’écoutes du réseau WiFi.
Pour la petite histoire, ce sont les mêmes journalistes qui ont “omis” d’expliquer que des solutions existent à base, par exemple, d’authentification 802.1X… C’est d’ailleurs la réaction des DSIs qui ont rejeté violemment cette technologie qui m’ont poussé à chercher des solutions et à créer WaveStorm dans la foulée.
Voilà donc maintenant que depuis quelques temps, la psychose gagne progressivement le monde du Bluetooth. On a vu il y a quelques mois un bug sur l’implémentation d’OBEX sur certains téléphones qui rendaient le carnet d’adresse accessible à l’insu du propriétaire du téléphone… Puis ce fut l’apparition du premier virus Bluetooth, Cabir, sur Nokia serie 60. Il y a quelques jours, je recevais une lettre du Bluetooth SIG marquat leur inquiétude concernant les “car whisperer”:
- Using a portable computer with a Bluetooth radio and a directional antenna, the consultant used the “Car Whisperer” program to remotely connect to and communicate with the car, sending audio to the speakers and receiving audio from the microphone in the remote device. The consultant stated that he was able to accomplish this because some Bluetooth device manufacturers have not implemented the SIGs recommendations for security practices.
J’aurais tendance à relativiser beaucoup ce genre d’informations. D’abord, il est évident que tous les médias partagsés non opérés par une instance centrale seront toujours sujets à ce genre de problèmes… Un opérateur GSM est capable de reconnaître ses utilisateurs grâce à la puce SIM dont il est propriétaire… et qui fournit un mécanisme d’authentification forte.
Dans les marchés SOHO du WiFi Bluetooth & co, les utilisateurs n’ont pas les moyens techniques et humains de gérer de telles infrastructures, pour cela des mécanismes “simples” ont été inventés. Ceux-ci sont bien évidemment moins robustes… mais néanmoins ils nécessitent beaucoup de compétences pour les craquer! C’est loin d’être à la porté du premier venu! On n’est plus au temps où avec un scanner de fréquences on écoutait les conversations des utilisateurs de mobiles du quartier!
Mais par contre cette mauvaise presse est décidément un handicap pour ces technologies, qui sont émergentes et qui cherchent à convaincre… Un utilisateur qui déciderait d’éteindre le Bluetooth de son téléphone par peur d’être hacké est un utilisateur perdu pour ceux qui développent de la valeur sur ces technologies (Mobiluck, Kameleon…), et il est perdu pour de mauvaises raisons!
Ce genre d’informations “alarmistes” ne servent personne…
