Pourquoi la Sécurité du Module Bluetooth est Importante
Lorsque les ingénieurs évaluent un module Bluetooth pour un nouveau produit, ils comparent généralement la consommation d’énergie, la portée et le facteur de forme. La sécurité entre souvent dans la conversation tardivement—souvent après qu’un prototype fonctionne déjà. C’est un problème, car l’architecture de sécurité BLE est largement déterminée lors de la phase de sélection du module et du firmware.
Architecture de Sécurité BLE
- Couplage et liaison : Établit un secret partagé (LTK) entre appareils. Les méthodes vont de Just Works (vulnérable au MITM) à Passkey Entry (résistant au MITM).
- LE Secure Connections (LESC) : Introduit en BLE 4.2, utilise ECDH sur la courbe P-256. Fournit la confidentialité persistante et est obligatoire dans BLE 5.0+.
- Confidentialité / Adresses Privées Résolvables (RPA) : Les appareils font pivoter périodiquement leur adresse MAC pour empêcher le suivi.
- Chiffrement et signature d’attributs : Les caractéristiques GATT peuvent exiger un lien chiffré ou une écriture signée.
Failles de Sécurité Courantes
| Vulnérabilité | Cause Racine | Impact de l’Attaque |
|---|---|---|
| Just Works en production | Code d’exemple SDK inchangé | MITM intercepte la clé de session |
| Caractéristiques GATT non chiffrées | Flags de permissions manquants | N’importe quel scanner peut lire/écrire |
| Adresse MAC fixe | Confidentialité/RPA non activée | Localisation traçable par un observateur passif |
| Payload OTA en clair | OTA personnalisé sans chiffrement | Firmware extrait ou remplacé par un code malveillant |
| PIN hardcodé | Passkey fixe « 000000 » | Force brute en moins de 1 seconde |
Liste de Vérification Pratique
- □ Mode de couplage configuré sur LE Secure Connections ; Just Works désactivé
- □ Toutes les caractéristiques GATT portant des données sensibles requièrent un lien chiffré
- □ Confidentialité/RPA activée avec intervalle de rotation ≤ 15 minutes
- □ Protection en lecture du flash activée dans le script de programmation de production
- □ Source TRNG confirmée dans la configuration du SDK
- □ Payload OTA vérifié avec signature du firmware avant application
- □ PIN non hardcodé ; généré dynamiquement ou provisionné par appareil
- □ Interface de débogage verrouillée sur les unités de production
Un module Bluetooth qui passe cette liste est livré avec une posture de sécurité correspondant aux efforts investis dans ses performances RF.