Sunday 14 March 2010
Article  Cloud security assessment scheme launched

Sunday 14 March 2010
In Brief  Human element undermines encryption

Thursday 11 March 2010
Article  Digital privacy framework steps closer?

Monday 8 March 2010
Audio Podcast  Web 2.0 and Social Networks in the Enterprise

Sunday 7 March 2010
Article  Digital Economy Bill raises privacy concerns

Wednesday 3 March 2010
Article  Cloud security threats identified by CSA

Tuesday 2 March 2010
In Brief  Vote for your CSO Interchange topics

Thursday 25 February 2010
Article  Cloud Computing : a simple question of supplier risk

Monday 22 February 2010
Article  Most dangerous coding errors outed

Monday 22 February 2010
In Brief  Microsoft IE users to get browser choice update

Friday 19 February 2010
Article  Google Buzz fail highlights privacy expectation rise

Thursday 18 February 2010
In Brief  Annual hacking challenge aims for mobiles and browsers

Wednesday 17 February 2010
Audio Podcast  The Challenges of Cross Border eID

Monday 15 February 2010
Audio Podcast  The Readiness of eID in Europe Part 2

Sunday 14 February 2010
Audio Podcast  The Readiness of eID in Europe Part 1

Written by Jerome Saiz (SecurityVibes)
Published on Monday 6 June 2005
0 comment(s) | Subnetwork France

Mise à jour : L'attaque est confirmée. Son processus est cependant légèrement différent que celui décrit dans la version originale de cette brève. La version ci-dessous est corrigée en fonction des détails publiés aujourd'hui. Si l'attaque annoncée par les deux chercheurs de l'université de Tel Aviv est démontrée, les possesseurs de téléphones mobiles Bluetooth devront désormais se méfier de leurs fréquentations ! Avishai Wool et Yaniv Shaked affirment être capables d'espionner à loisir les communications entre deux téléphones (ou clients) Bluetooth, même lorsque la paire initiale a déjà été associée et que, normalement, ils se reconnaissent de manière sûre. L'astuce serait d'envoyer un signal de type "Reset" afin de forcer les clients à tenter de s'associer à nouveau. A ce moment, les chercheurs utilisent alors une attaque connue contre Bluetooth qui permet de s'insérer dans processus d'association afin d'être capable par la suite d'espionner les échanges entre les deux clients. Cette dernière attaque était jusqu'à présent considérée comme purement académique car il fallait, pour l'exploiter, se trouver au bon endroit (à quelques mètres des deux mobiles) et surtout au bon moment, car l'association initiale ne dure que quelques secondes. Mais s'il est possible de forcer une nouvelle association à volonté, l'attaque prend alors une toute autre envergure, et elle en devient beaucoup plus préoccupante. Aucun détail n'a encore filtré sur la mécanique de cette attaque, qui sera dévoilée aujourd'hui lors d'une conférence à Seattle, aux Etats-Unis. Mais selon les premiers commentaires, elle permettrait de jouer de nombreux tours pendables aux possesseurs de téléphones Bluetooth, dont notamment celui de passer des appels qui seraient facturés à la victime ou de siphonner le contenu de l'un des clients. Bien sûr les limitations habituelles liées à ce protocole demeurent : pour être victime d'un tel pirate à la dent bleue, il faut laisser Bluetooth activé sur son téléphone, l'avoir mis en mode "découverte", se trouver à quelques mètres du pirate et réaliser alors une association avec un autre terminal. Si l'on en croit de nombreux tests (et la propagation - bien réelle quoique limitée - de Cabir, le premier virus mobile), les téléphones Bluetooth ouverts ne sont pas une occurrence si rare dans les lieux publics. En revanche, il est déjà plus rare de procéder à une nouvelle association dans ces conditions. Cependant, grâce à un matériel spécifique, des expériences récentes ont montrées que le signal Bluetooth peut-être capté sur une très grande distance et isolé. Le danger d'exploitation n'est donc pas totalement exclu, mais seulement relégué à un scénario d'espionnage un peu corsé.