Bluejacking est l'envoi de messages non sollicités via Bluetooth aux appareils compatibles Bluetooth (téléphones mobiles, PDA, les ordinateurs portables) ou l'envoi de vCard contenant un message ou l'envoi d'images ou sons (avec les risques attenants).

cr  01.04.2012      r+  01.06.2024      r-  15.07.2024      Pierre Pinard.         (Alertes et avis de sécurité au jour le jour)

Bluejacking est l'envoi de messages non sollicités via Bluetooth aux appareils compatibles Bluetooth tels que les téléphones mobiles, les PDA ou les ordinateurs portables, l'envoi d'une vCard qui contient généralement un message dans le champ de nom (par exemple, pour bluedating ou BlueChat) à un autre appareil compatible Bluetooth via le protocole OBEX.

Bluetooth a une portée très limitée, généralement autour de 10 mètres (32,8 pieds) sur les téléphones portables, mais les ordinateurs portables peuvent atteindre jusqu'à 100 mètres (328 pieds) avec de puissants émetteurs (Bluetooth classe 1).

Un bluejacking aurait été effectué pour la première fois entre 2001 et 2003 par ^[1] un consultant informatique malais qui a utilisé son téléphone pour envoyer une publicité Ericsson à un unique propriétaire d'un téléphone Nokia 7650 dans une banque malaisienne. Il a également ^[2] inventé le nom, qui, selon lui, est un amalgame entre Bluetooth et d'Ajack, son pseudo d'utilisateur sur esato.com, un forum de discussion en ligne de fans des téléphones Sony Ericsson. Jacking est, cependant, un raccourci extrêmement commun de « Hijack », l'acte de prendre le contrôle de quelque chose. ^[3] Les messages originaux d'Ajack sont difficiles à trouver, mais les références à cet exploit sont courantes dans des messages de 2003.

Un autre utilisateur du même forum revendique une découverte antérieure, ^[4] rapportant une histoire presque identique à celle attribuée à Ajack, sauf qu'il décrit le bluejacking de 44 téléphones Nokia 7650 au lieu d'un, et l'emplacement est un garage, apparemment au Danemark, plutôt qu'une banque malaisienne. En outre, le message était une insulte aux propriétaires des Nokia 7650 plutôt qu'une publicité Sony Ericsson.

Le bluejacking est généralement inoffensif, mais comme les personnes bluejackées ne savent généralement pas ce qui s'est passé, elles peuvent penser que leur téléphone fonctionne mal ou est contaminé.

Habituellement, un bluejacker n'enverra qu'un message texte, mais avec les téléphones modernes, il est également possible d'envoyer des images ou des sons. Le bluejacking a été utilisé dans des guerres de campagnes publicitaires pour promouvoir des advergames (des jeux vidéo publicitaires).

Bluejacking est parfois confondu avec Bluesnarfing, qui est la façon dont les téléphones mobiles sont piratés illégalement via Bluetooth.

Certains formats d'images (^[5] .png) peuvent embarquer une attaque qui, lorsque l'utilisateur l'ouvre, contamine l'appareil.

^[6] Des chercheurs chinois ont découvert des vulnérabilités dans le fonctionnement du Bluetooth sur les téléphones équipés d'Android, et qui permettent de voler des informations confidentielles, dont des SMS et contacts du téléphone. Les chercheurs de l'entreprise DBAPPSecurity ont présenté leur découverte mercredi 5 août 2020 à la BlackHat.

Le Bluetooth doit toujours être désactivé. Si besoin, l'activer momentanément et le désactiver aussitôt.