Les chercheurs chinois de DBAPPSecurity viennent de trouver une faille dans Bluetooth. Baptisée “BlueRepli” elle permet à un pirate de s’introduire dans des smartphones Android et d’y dérober des informations, parmi lesquelles les SMS et les contacts du répertoire. Cette faille est dite “zero day”, c’est à dire inconnue jusqu’à aujourd’hui. La menace est importante parce que la cible est un système quasiment universel, et que tous les appareils sont une cible potentielle, indépendamment de la prudence avec laquelle leur utilisateur a utilisé le web. Pour se connecter en Bluetooth, un utilisateur doit effectuer une opération dite d’appairage, pendant laquelle les deux appareils vont faire connaissance. Une fois présentés, ils peuvent se connecter très rapidement et automatiquement, sans action supplémentaire. Il suffit pour cela d’activer le Bluetooth, de mettre les deux appareils sous tension et de les rapprocher à une distance raisonnable. Grâce à cette faille, un pirate peut enregistrer son propre appareil auprès de la cible en tant qu’objet appairé en Bluetooth. Il se connecte à la cible, en se faisant passer pour un appareil connu, sans explication ni autorisation.

Tant que Google n’aura pas corrigé la faille dans son système d’exploitation, le Bluetooth demeurera une porte grande ouverte. Ce n’est probablement qu’une question de temps avant que les équipes d’Android ne corrigent cette nouvelle brèche. S’il n’est pas possible de désinstaller le Bluetooth comme on le ferait avec une application malveillante, mieux vaut garder un œil sur les mises à jour de votre appareil Android dans les prochains temps.