Nordic Semiconductor
flow-image

Menace contre la sécurité dans les appariements LESC Bluetooth

Ce document est publié par Nordic Semiconductor

La CERT Division a publié une Note de vulnérabilité intitulée Les mises en œuvre Bluetooth sont susceptibles de ne pas valider suffisamment les paramètres de la courbe elliptique pendant l’échange des clés Diffie-Hellman. Il décrit une attaque par « hôte interposé » sur les procédures d’appariement dans l’appariement sécurisé et dans les connexions sécurisées Bluetooth LE.

L’attaque décrite dans la Note de vulnérabilité VU n° 304725 repose sur la manipulation des clés publiques transmises pendant la procédure d’appariement et elle n’est possible que si une mise en œuvre ne valide pas une clé publique quand celle-ci est reçue.

Le Bluetooth SIG a abordé cette vulnérabilité dans un document signalant l’erratum mis à la disposition des membres du Bluetooth SIG. Document signalant l’erratum Erratum 10734 : Les mises à jour sur les appariements v1.0 comportent des modifications à la Spécifications principales Bluetooth visant à augmenter la sécurité des procédures d’appariement de l’appariement sécurisé Bluetooth et des connexions sécurisées Bluetooth LE.

Les SDK nRF5 antérieurs à la version 15.0.0 contiennent des mises en œuvre expérimentales des procédures d’appariement des connexions sécurisées Bluetooth LE qui sont vulnérables à l’attaque décrite dans la Note de vulnérabilité. Ces vulnérabilités ont été supprimées à partir de la version 15.0.0. des SDK nRF5. Les modules à utiliser dans les procédures d’appariement des connexions sécurisées Bluetooth LE sont conformes à toutes les modifications exprimées dans le document signalant l’erratum.

Ce document décrit les modifications des Spécifications principales Bluetooth conformément à l’erratum et la manière dont les modules logiciels pertinents des SDK nRF5 se conforment à ces modifications. Il est essentiel de rendre la validation de la clé publique obligatoire au cours du processus plutôt qu’elle reste facultative au cours des procédures d’appariement.

Télécharger maintenant

box-icon-download

*champs obligatoires

Please agree to the conditions

En faisant appel à cette ressource, vous acceptez nos conditions d'utilisation. Toutes les données sont protégées par notre politique de confidentialité. Si vous avez d'autres questions, n’hesitez pas à envoyez un email à: dataprotection@headleymedia.com .