Réponse rapide : non, et ça n’arrivera jamais. Si vous souhaitez obtenir une explication plus détaillée de l’attaque et savoir pourquoi notre technologie ne peut être la cible d’un tel exploit, poursuivez votre lecture.
Les faiblesses de sécurité critiques dans les spécifications Bluetooth Low Energy (BLE) ont fait l’objet de nombreux débats ces derniers temps, depuis que l’Université Perdue et l’École Polytechnique Fédérale de Lausanne (EPFL) ont mis en garde contre les attaques BLESA (Bluetooth Low Energy Spoofing Attack). Cette vulnérabilité, identifiée au cours des derniers mois, a un impact sur les appareils fonctionnant avec le protocole BLE et permet aux pirates de se faire passer pour un appareil BLE afin de transférer des données importantes à un autre appareil préalablement couplé.
Bluetooth Low Energy est le protocole le plus largement utilisé et permet une communication sans fil à courte portée efficace sur le plan énergétique entre des appareils aux ressources limitées. Plus intelligente et plus compacte que la version originale classique, elle est plus économe en énergie et conserve mieux la batterie sans compromettre la connectivité. De plus, elle est facilement adoptable, car elle nécessite peu d’interaction de la part de l’utilisateur pour établir une connexion entre deux ou plusieurs appareils. Malheureusement, sa simplicité n’est pas seulement à l’origine de son utilisation généralisée, mais aussi à l’origine de ses vulnérabilités, comme les attaques par usurpation d’identité.
Les chercheurs ont déclaré que la nouvelle faille de sécurité se manifeste pendant les processus d’appariement et de liaison au cours desquels le client et le serveur se sont authentifiés pour s’apparier à l’appareil de l’autre. Au cours du processus d’authentification, les vérifications de reconnexion peuvent être contournées, ce qui peut entraîner l’envoi d’informations incorrectes au dispositif BLE. Tout cela peut entraîner des décisions erronées de la part des opérateurs humains et des processus automatisés.
Chaque connexion BLE implique un appareil faisant office de client et un autre faisant office de serveur. La première fois qu’ils se connectent, ils effectuent une procédure d’appairage, qui change en fonction des appareils connectés et des capacités des interfaces utilisateur. C’est dans cette phase que la vulnérabilité se manifeste. Les différents modes d’interaction entre le dispositif primaire et le dispositif secondaire permettent de contrôler l’ensemble du processus et la vulnérabilité elle-même. Dans le premier type d’interaction, un dispositif périphérique se connecte à un dispositif primaire de manière indissoluble, les deux dispositifs sont donc liés. Dans le second type, le dispositif central peut se connecter au dispositif périphérique à chaque fois qu’il y a une interaction, sans que les dispositifs soient liés. La vulnérabilité se présente dans le premier cas, qui est celui que les systèmes de Sofia Locks n’utilisent jamais pendant la configuration et la communication du réseau de la plateforme de contrôle d’accès.
Par conséquent, notre solutions et les opérations basées sur le cloud ne supportent pas le risque de vulnérabilité. Nos systèmes sont dotés d’un protocole de cryptage supplémentaire à celui de la norme BLE, afin de disposer d’une couche de sécurité supplémentaire. Nos experts ont spécifiquement conçu nos solutions de cette manière, afin d’éviter ce type d’attaques ou de vulnérabilités technologiques. Pour cette raison, l’attaque BLESA n’affectera jamais le fonctionnement de notre systèmes et des dispositifs.
