Casque, Bluetooth, rose
Société

Quand nos écouteurs deviennent une porte dérobée

Romuald Pena

Dans un monde saturé d’objets connectés, la facilité est synonyme de reine. Une récente innovation est Google Fast Pair. Elle est la promesse de simplifier au maximum l’appairage des appareils audio Bluetooth. Par une pression, vos écouteurs, casques ou enceintes s’associent directement à votre ordiphone ou système d’information, ce, en moins d’un clin d’œil. Mais derrière cette fluidité déconcertante se cache une faille d’une gravité inattendue : WhisperPair.

En effet, des chercheurs en cybersécurité de l’université KU Leuven ont révélé une importante vulnérabilité du protocole Fast Pair. Ces membres du groupe « Computer Security and Industrial Cryptography », indiquent qu’elle peut permettre à des attaquants de prendre le contrôle d’appareils audio sans consentement. Mais qu’ils peuvent aussi écouter des conversations ou même suivre discrètement les déplacements des utilisateurs, à la manière d’un airtag. Cette série de failles est répertoriée comme CVE-2025-36911, relate BleepingComputer.

Une vulnérabilité dans un standard de commodité

La société s’oriente vers la simplification. Google, qui a anticipé les besoins, a conçu Fast Pair pour rendre les connexions Bluetooth plus sobres. Qui plus est pour Android et ChromeOS. À cet effet, dès qu’un nouvel accessoire passe à proximité, le système propose automatiquement de l’appairer. Idée lumineuse, car elle tend à éliminer le fastidieux processus de découverte et de jumelage. Mais cette mise en œuvre n’a pas respecté tous les garde-fous de sécurité prescrits par Google.

Dans la logique, un appareil Bluetooth répond à une demande d’appairage, que s’il est explicitement en mode de configuration. Ce qui est la résultante d’une action de l’utilisateur. Mais, selon les chercheurs, ce contrôle n’a pas été correctement implémenté. Cela ouvre la porte à une exploitation silencieuse du protocole, expliquent-ils.

Les attaques peuvent être réalisées avec un appareil doté d’une interface Bluetooth — ordinateur portable, smartphone ou même un Raspberry Pi —. Pour cela, il suffit que l’attaquant se trouve à proximité — dans une portée typique Bluetooth, jusqu’à 14 mètres —. Il peut donc déclencher une procédure d’appairage forcé avec un casque, des écouteurs ou une enceinte compatibles Fast Pair. Aucunement besoin d’action pour l’utilisateur ciblé.

Des attaques rapides, silencieuses et sans contact

Une fois la connexion établie, l’attaquant obtient un accès complet. Il peut injecter des sons, perturber la lecture… mieux encore, activer le microphone pour intercepter des ou vos conversations. Dans certains cas, ils peuvent suivre les mouvements de l’utilisateur via des réseaux de localisation, indiquent les chercheurs.

Ce dernier tire parti du fonctionnement du réseau Find Hub/Find My Device. Il exploite des dispositifs Android à proximité pour signaler la position d’un appareil. Si un attaquant parvient à appairer l’accessoire à son propre compte Google, il peut observer sa localisation au fil du temps. Là où le bat blesse, est que parfois la victime n’est même pas consciente du suivi. Ou encore, elle confond les alertes avec un simple bogue.

La faille CVE-2025-36911 touche de nombreux modèles, notamment. Les chercheurs de KU Leuven ont publié une base de données d’appareils testés. (Crédits : Nardo/Pexels)

Les chercheurs ont testé 25 appareils provenant de 16 fournisseurs différents. Ils ont constaté que près de 68 % d’entre eux étaient vulnérables à cette attaque forcée — avant les mises à jour —, et que tous ceux exploitables permettaient d’accéder au microphone, ce qui démontre l’étendue du problème.

Pourquoi une faille semble-t-elle si répandue ?

Selon les chercheurs, l’origine réside dans une faiblesse de conception et de mise en œuvre du protocole Fast Pair. Alors que Google exige que les appareils n’acceptent pas de nouvelles connexions Bluetooth hors du mode d’appairage, cette règle n’a pas été strictement appliquée. Certains accessoires ont même obtenu la certification Fast Pair alors que cette exigence n’était pas correctement implémentée. L’équipe de recherche a souligné qu’il s’agit d’une erreur de logique dans le code d’appairage plutôt que d’un problème matériel. Cela implique un enjeu sociétal. Le compromis entre facilité d’utilisation (ergonomie) et sécurité informatique.

Suite à la divulgation en août 2025, l’entreprise a reconnu publiquement la gravité de la situation. Ce qui classe WhisperPair comme une vulnérabilité critique. La firme collabore avec les fabricants pour publier des correctifs. Google a également martelé que certains de ses propres appareils audio avaient reçu des mises à jour. Google a donc offert le maximum de la prime dite Bug Bounty — soit 15 000 $ — à l’équipe à la base de cette découverte.

Il subsiste un défi majeur. Si, contrairement aux mises à jour automatiques des ordiphones (smartphone), les correctifs pour écouteurs ou casques Bluetooth ne sont pas instantanés. Cela nécessite l’action de l’utilisateur. Ce qui peut laisser de nombreux appareils vulnérables pendant des mois ou années.

Commodité contre sécurité

Il est de rigueur de vérifier et d’installer le cas échéant — immédiatement — toute mise à jour du firmware disponible. Et comme à chaque instant, restez prudent dans les lieux publics, en particulier si vous utilisez des écouteurs compatibles Fast Pair. Les chercheurs expliquent que le désactiver sur un téléphone ne suffit pas, car la vulnérabilité se trouve dans les accessoires eux-mêmes.

La faille WhisperPair illustre un dilemme récurrent de l’ère numérique : la quête de simplicité face à la sécurité et la vie privée. Un compromis est factuel. Mais quand des protocoles conçus pour faciliter la vie des utilisateurs deviennent des vecteurs d’attaque silencieux, cela pose question.

À une époque où les appareils que nous portons — ou plaçons près de nous — peuvent capter des éléments intimes de nos vies, la nécessité d’une cybersécurité robuste n’est pas un luxe, mais une condition sine qua non de liberté numérique. Même si vous n’avez rien à cacher… (Crédits : Michael Burrows/Pexels)

Casque, Bluetooth, cyber

Romuald Pena

Journaliste et curieux de nature, j’aime les mots et ce qu’ils chantent aux oreilles qui les entendent. « La vérité, c’est qu’il n’y a pas de vérité », assurait Pablo Neruda. Ainsi j’apporte des faits, des faits, encore et toujours des faits, car : « Nous ne pouvons être condamnés à pire, à juger les autres, à être des juges. » (Le Testament d’Orphée, de Jean Cocteau)

Vous pourrez aussi aimer

L’Espagne à la pointe de l’égalité entre Femmes et Hommes ?

Elise Dardut

Sartrouville et Oniris l’école vétérinaire de Nantes victimes de cyberattaques

Romuald Pena
Propagande, lettre, scrabble

Suis-je complotiste ? (2ᵉ partie)

Romuald Pena

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *