Google et Intel ont découvert une nouvelle faille Bluetooth affectant tous les appareils Linux à partir de la version 4.5, à l'exception de la plus récente, 5.9. Le chercheur en sécurité de Google, Andy Nguyen, vient de révéler une faille de sécurité, baptisée «BleedingTooth», dans BlueZ, un soussystème de Linux qui met en œuvre la technologie Bluetooth. «Cette faille permet d'exécuter du code arbitraire à distance et ne nécessite aucune action de la part de la victime», indiquet-il. Dans un Tweet, M. Nguyen a publié une vidéo démonstrative où il montre comment l'attaque peut se produire en utilisant des commandes sur un ordinateur portable Dell XPS 15 alimenté par Ubuntu, un système d'exploitation distribué par GNU/Linus, sans qu'aucune action ne soit effectuée sur ce dernier. Il a promis, dans ce sens, de publier prochainement de plus amples informations sur les détails techniques, afin d'en savoir plus sur le niveau réel du risque encouru. Mettre à jour le noyau Linux Intel, de son côté, a publié un avis de sécurité sur cette faille, lui attribuant une sévérité de 8,3 sur 10, «les vulnérabilités potentielles de sécurité dans BlueZ peuvent permettre une élévation des privilèges, la divulgation d'informations et une attaque de type déni de service». Il a recommandé de mettre à jour le noyau Linux vers la version 5.10 qui n'est pas impactée. Pour les appareils tournant sous Linux et ne pouvant être mis à jour, la firme a inclus une liste de liens vers des patchs. «BlueZ publie des correctifs du noyau Linux pour remédier à ces failles potentielles », a-t-il ajouté. A noter que les experts en sécurité estiment qu'il n'y a aucune raison de paniquer, car, comme presque toutes les failles de sécurité liées au Bluetooth, BleedingTooth nécessite la proximité d'un appareil vulnérable. BlueZ : un logiciel nécessaire pour le Bluetooth La faille réside dans BlueZ, la pile logicielle qui implémente par défaut toutes les couches de base et tous les protocoles de la technologie sans fil Bluetooth pour Linux. Au départ, il a été mis en place par Max Krasnyansky de la société Qualcomm, avant que la société ne le rende open source et le publie sous licence GNU GPL en 2001. Il est devenu, par la suite, la mise en œuvre Bluetooth de référence pour Linux qui l'a intégré officiellement à son noyau depuis la version 2.4.6. Mis à part les ordinateurs portables sous Linux, BlueZ est utilisé dans de nombreux appareils Internet grand public ou industriels.
