Le Bluetooth est une technologie sans fil révolutionnaire permettant à divers appareils de communiquer sur de courtes distances. Développé dans les années 1990 par des géants de l’industrie comme IBM, Intel, Ericsson, Nokia et Toshiba, ce protocole relie des smartphones à des écouteurs sans fil, des montres connectées ou encore des enceintes portables. Utilisant des ondes radio à faible puissance, il a transformé notre manière d’interagir avec nos gadgets.
En pratique, un appareil Bluetooth émet un signal détectable par un autre appareil à proximité, généralement dans un rayon de 15 mètres. Une fois connectés, ces appareils peuvent échanger divers types de données, tels que du son, des images ou des fichiers. Géré par le Bluetooth Special Interest Group (Bluetooth SIG), ce standard s’est imposé sur une multitude d’appareils, le smartphone étant l’un des plus populaires.
Depuis son lancement, le Bluetooth est devenu une technologie omniprésente. En 2023, environ cinq milliards d’appareils Bluetooth ont été vendus dans le monde, avec des prévisions de ventes annuelles dépassant les six milliards cette année. D’ici quatre ans, on estime que 7,5 milliards d’appareils Bluetooth seront écoulés mondialement.
Cette croissance est principalement alimentée par la demande croissante pour des appareils connectés comme les écouteurs sans fil, les enceintes, et divers gadgets de l’Internet des objets (IoT) tels que les ampoules connectées. Le Bluetooth SIG souligne que la croissance continue des appareils électroniques grand public connectés va continuer à stimuler l’adoption du Bluetooth. Bref, le Bluetooth est omniprésent et ce n’est pas prêt de changer.
À lire aussi : Le Bluetooth autorisé à garder son nom pour les 1 000 années à venir
Les dangers du Bluetooth
Malheureusement, le protocole Bluetooth comporte des risques significatifs de cybersécurité. Pascal Le Digol, expert en sécurité chez WatchGuard France, rappelle que tous les protocoles ont des failles, y compris le Bluetooth et le WiFi. Aucun n’est infaillible.
Il n’est pas rare que des vulnérabilités soient découvertes dans le standard Bluetooth. L’année dernière, des chercheurs d’Eurocom ont démontré qu’il était possible de mener six types d’attaques sur les versions de Bluetooth allant de la 4.2 (2014) à la 5.4. Ces attaques exploitent un ensemble de vulnérabilités permettant de compromettre la confidentialité des sessions Bluetooth et la vie privée des utilisateurs.
Des conversations compromises
Le protocole Bluetooth peut permettre d’espionner les conversations des utilisateurs. Des hackers peuvent intercepter et retransmettre les signaux Bluetooth à un autre appareil. Le flux audio peut ainsi être intercepté, compromettant la confidentialité des conversations. Un pirate pourrait également intercepter les frappes d’un clavier Bluetooth, collectant des informations sensibles comme des mots de passe ou des identifiants, similaire à un malware de type infostealer.
Pour espionner via Bluetooth, des moyens considérables sont souvent nécessaires. Comme l’explique un chercheur d’ESET, il faut de vraies compétences : « Et si tu n’as pas les connaissances, il faut embaucher quelqu’un pour le faire. Donc ça me semble un peu compliqué. Mais ça reste, encore une fois, ça reste possible ».
« Un danger dans le cadre des violences intrafamiliales », souligne Benoit Grunemwald.
Les risques sont exacerbés si c’est votre entourage, personnel ou professionnel, qui tente de vous espionner. Le Bluetooth pourrait être exploité par un conjoint violent ou abusif pour s’immiscer dans des conversations privées.
Votre position géographique compromise par le Bluetooth
Le Bluetooth peut également révéler votre position géographique. Benoit Grunemwald, expert en cybersécurité chez ESET France, explique que le Bluetooth peut trahir la position géographique des utilisateurs. En utilisant des capteurs ou dispositifs d’écoute à proximité, il est possible de trianguler la position d’une personne en suivant les signaux Bluetooth émis par son appareil. En analysant la force et la direction des signaux, il est possible de déterminer l’emplacement d’un appareil connecté.
Un exemple marquant est le dispositif de surveillance Bluetooth RFParty, créé par le développeur américain Alan Meekins, pour lutter contre les bavures policières. Le dispositif analyse les signaux Bluetooth émis par des appareils utilisés par des agents de police. En triangulant ces signaux, la position des objets est déterminée, révélant l’endroit où se trouvent les policiers.
Pour identifier les appareils des forces de l’ordre, la plateforme utilise l’adresse MAC, une sorte de carte d’identité des appareils Bluetooth. Cette adresse permet aux appareils de se reconnaître et de communiquer entre eux. L’Organizationally Unique Identifier (OUI) dans l’adresse MAC a permis de trahir la position des forces de police.
De même, il est possible de déceler la présence d’une personne en consultant la liste des appareils Bluetooth à proximité via un smartphone. Cette méthode est encore plus efficace si vos appareils sont nommés avec vos informations personnelles.
Du phishing et des attaques « brutales »
Enfin, le Bluetooth peut être utilisé pour des attaques de phishing. La victime reçoit une demande de jumelage sur son appareil. Si elle accepte, un pirate peut se connecter et exploiter diverses failles.
« C’est comme un spam ou un fichier, si tu acceptes de n’importe qui. À partir du moment où tu te connectes à quelque chose qui n’est pas à toi, on peut se demander s’il n’est pas piraté », explique Benoit Grunemwald.
Les pirates peuvent usurper l’identité d’un appareil déjà jumelé avec votre terminal. Par exemple, un pirate peut nommer son dispositif de la même manière que votre appareil, augmentant ainsi les chances que vous acceptiez la connexion.
Certaines attaques n’ont même pas besoin de votre interaction. En exploitant une vulnérabilité, il est possible de se connecter de force à un appareil. Ces attaques « brutales » nécessitent souvent des dispositifs spécialisés. Les cybercriminels peuvent aussi contourner la limitation de portée du Bluetooth en utilisant des appareils intermédiaires.
« Ne sous-estimons pas l’ingéniosité des pirates », déclare Pascal Le Digol.
Par exemple, un pirate peut utiliser des relais Bluetooth pour atteindre sa cible. Bien que théoriques, certaines de ces attaques ont déjà été vues dans des réseaux Wi-Fi.
Des dangers accrus avec le Bluetooth 6.0 ?
L’année prochaine, le Bluetooth 6.0 fera son apparition. Bien qu’il comblera certaines failles, il ouvrira également de nouvelles portes pour les pirates. Pascal Le Digol s’attend à ce que des vulnérabilités soient découvertes dans les six mois suivant son déploiement, affirmant que cela fait partie du jeu de la cybersécurité.
Le Bluetooth 6.0 promet de rendre la localisation d’objets compatibles extrêmement précise, ce qui pourrait augmenter les risques d’abus pour les victimes de violences intrafamiliales.
« Tu as un deuxième téléphone parce que tu es victime de violences intrafamiliales. Ton téléphone a le Bluetooth exposé et ton conjoint avec le Bluetooth 6 va le chercher », explique Benoit Grunemwald.
Certaines personnalités évitent déjà les appareils Bluetooth pour des raisons de sécurité. Par exemple, Kamala Harris, vice-présidente des États-Unis, préfère des écouteurs filaires aux AirPods.
« La connexion filaire reste toujours plus fiable qu’une connexion sans fil », résume Benoit Grunemwald.
Cependant, nos experts nuancent les risques posés par le Bluetooth. Les personnes avec des responsabilités élevées sont les plus à risque. Pour la plupart des utilisateurs, les pirates privilégieraient des méthodes plus simples et moins coûteuses.
Nos conseils pour protéger vos appareils Bluetooth
Malgré les risques, il est possible de protéger vos appareils Bluetooth. Désactivez le Bluetooth lorsque vous ne l’utilisez pas pour économiser de l’énergie et réduire les risques.
Pensez à installer toutes les mises à jour disponibles pour vos appareils Bluetooth, incluant vos écouteurs, casques et enceintes. Assurez-vous que leur micrologiciel reste à jour via votre smartphone ou ordinateur.
Achetez vos appareils Bluetooth uniquement à partir de sources officielles pour éviter des composants altérés. Évitez de nommer vos appareils Bluetooth avec des informations personnelles, choisissez des noms plus génériques pour plus de discrétion.
Enfin, supprimez tous les appareils auxquels vous vous êtes connectés temporairement de votre répertoire Bluetooth. Cela inclut les téléviseurs d’hôtels ou les enceintes Bluetooth d’amis. Cette précaution est également valable pour les voitures de location.
« Si je n’efface pas mes contacts, celui qui prend la voiture après moi peut potentiellement avoir accès à tous mes contacts », met en garde Benoit Grunemwald.
La Commission fédérale des communications des États-Unis recommande de découpler votre téléphone de la voiture et d’effacer toutes les données personnelles de la voiture avant de la rendre. Cela s’applique également si vous revendez votre voiture, car les données de votre téléphone peuvent être partagées avec la voiture.
En prenant ces précautions, vous réduirez considérablement la « surface d’attaque » de vos appareils Bluetooth. Pour une protection optimale, adoptez de bons réflexes dans tous les aspects de votre vie numérique, y compris la gestion de vos données personnelles et activités en ligne.
Restez toujours à la pointe avec nous et découvrez pourquoi notre blog est la référence incontournable des amateurs de gadgets et de technologie.