Les informations que vos appareils Bluetooth exposent sur vous

• Création et publication de Bluehood, un scanner basé sur Python qui collecte les signaux Bluetooth environnants afin de visualiser les informations que les utilisateurs exposent sans y penser
• Le simple fait de laisser le Bluetooth activé peut suffire à révéler des habitudes de vie, comme les plages horaires où le domicile est vide ou l’historique des visites
• Certains appareils médicaux, véhicules et montres connectées, entre autres, ne permettent pas à l’utilisateur de désactiver le Bluetooth et émettent donc des signaux en continu
• Même des applications axées sur la confidentialité comme Briar et BitChat nécessitent l’activation du Bluetooth, ce qui crée un paradoxe entre sécurité et exposition
• L’article insiste sur la nécessité de prendre conscience des traces numériques qui s’échappent des appareils du quotidien et de mieux les contrôler

Présentation du projet Bluehood

• Bluehood est un scanner Bluetooth conçu pour expérimenter quelles informations sont exposées vers l’extérieur lorsque le Bluetooth est activé
  • Il détecte les appareils à proximité et analyse les schémas d’apparition et de disparition
  • Il a été développé avec l’aide de l’IA, avec pour objectif de mieux comprendre la réalité de l’exposition des données personnelles
• Il a été développé juste après la divulgation de la vulnérabilité WhisperPair (CVE-2025-36911) par les chercheurs de la KU Leuven
  • Cette faille permet de compromettre à distance ou de suivre la position de centaines de millions d’appareils audio
  • Elle est citée comme un exemple montrant que les signaux Bluetooth sont loin d’être inoffensifs

L’exposition quotidienne du Bluetooth

• Smartphones, ordinateurs portables, véhicules, appareils médicaux, etc. sont présents en permanence avec le Bluetooth activé
  • L’idée selon laquelle « si l’on n’a rien à cacher, on n’a rien à craindre » est largement répandue
• Pourtant, le simple fait de le laisser activé entraîne une exposition involontaire d’informations
  • Par exemple, lorsque Bluehood a été exécuté en mode manuel, les éléments suivants ont été détectés
    • le moment d’arrivée d’un véhicule de livraison et le fait qu’il s’agissait ou non du même livreur
    • les habitudes quotidiennes des voisins
    • les combinaisons d’appareils apparaissant ensemble (par ex. téléphone portable et montre connectée)
    • les horaires de départ et de retour au travail d’une personne précise
  • La détection est possible avec un simple Raspberry Pi ou un ordinateur portable ordinaire

Des appareils que l’utilisateur ne peut pas contrôler

• Certains appareils ne permettent tout simplement pas à l’utilisateur de désactiver le Bluetooth
  • Les prothèses auditives utilisent le BLE pour le contrôle à distance et le diagnostic
  • Les implants médicaux, comme les pacemakers, émettent eux aussi des signaux BLE
  • Les véhicules et moyens de transport diffusent en continu du Bluetooth pour la gestion et le diagnostic
• Les montres connectées, colliers GPS pour animaux de compagnie et équipements de fitness ne peuvent pas non plus fonctionner sans Bluetooth

Le paradoxe des outils de confidentialité

• Briar synchronise les messages via un réseau maillé Bluetooth et Wi‑Fi même lorsque l’accès à Internet est coupé
  • Il permet aux militants et journalistes de communiquer sans serveur central
• BitChat est une messagerie décentralisée entièrement fondée sur un réseau maillé Bluetooth
  • Les messages y sont transmis en multi-sauts, sans Internet, sans serveur et sans numéro de téléphone
• Les deux applications ont pour objectif de protéger la vie privée, mais nécessitent l’activation du Bluetooth pour fonctionner
  • Il en résulte un paradoxe où le moyen de protection devient en même temps un vecteur d’exposition

Ce que révèlent les métadonnées

• Le simple motif des signaux Bluetooth peut suffire à suivre les comportements d’une personne
  • Par exemple, après plusieurs semaines de scans dans une zone donnée, il est possible d’identifier
    • les plages horaires où le domicile est vide
    • l’existence ou non de visiteurs réguliers
    • les schémas de rotation des équipes de travail
    • l’heure de retour des enfants à la maison
    • la fréquence des visites d’un même livreur
• Les journaux permettent aussi de remonter aux appareils présents à proximité à un moment donné
  • Par exemple : la montre connectée d’une personne en promenade, le dispositif de suivi d’un véhicule, etc.
• Cela montre à quel point les traces numériques du quotidien peuvent être collectées facilement

Les fonctions de Bluehood

• Il s’agit d’une application Python exécutable sur tout appareil disposant d’un adaptateur Bluetooth
  • Scan continu pour détecter les appareils à proximité et identifier le fabricant ainsi que les UUID de services BLE
  • Analyse de motifs pour produire des cartes de chaleur par plage horaire, mesurer les durées de présence et détecter les appareils associés
  • Filtrage des adresses MAC aléatoires afin de prendre en compte les fonctions de protection de la vie privée des appareils récents
  • Prise en charge d’une surveillance en temps réel via un tableau de bord web
• Les données sont stockées dans SQLite, avec une fonction de notification push via ntfy.sh
• Installation possible avec Docker ou manuellement, exécution avec les privilèges root ou comme service systemd

Objectif du projet

• Bluehood n’est pas un outil de piratage, mais un outil de démonstration à visée pédagogique
  • Il montre à quel point les données personnelles peuvent être exposées facilement avec du matériel standard
• Même une simple fonction de confort implique de prendre conscience du prix à payer pour l’activation des radios sans fil
• L’auteur invite à distinguer les cas où le Bluetooth est indispensable de ceux où il relève du simple confort, afin de favoriser un usage conscient
• Si Bluehood amène les utilisateurs à repenser leurs habitudes liées au Bluetooth, alors le projet aura atteint son objectif
• Le code source de BlueHood est disponible sur GitHub