Les écouteurs Bluetooth sont devenus des objets du quotidien, presque invisibles. Pourtant, depuis quelques jours, ils se retrouvent au cœur d’une alerte de sécurité d’ampleur mondiale. Des chercheurs en cybersécurité viennent de révéler une série de failles baptisées WhisperPair, qui touchent le système d’appairage rapide Google Fast Pair. Dans certaines conditions, un hacker situé à proximité peut se connecter à vos écouteurs sans aucune autorisation, sans notification claire, et sans que vous ne vous rendiez compte de quoi que ce soit !
Un mécanisme très répandu mais vulnérable
Google Fast Pair est utilisé sur Android pour connecter instantanément des écouteurs ou des casques, sans passer par les menus Bluetooth traditionnels. Le problème, selon les chercheurs de l’université belge KU Leuven, est que cette simplicité repose sur des vérifications de sécurité parfois incomplètes, voire absentes chez certains fabricants. Dans ces cas-là, un appareil peut accepter une nouvelle connexion même s’il est déjà appairé à votre smartphone.
Concrètement, cela ouvre la porte à des scénarios bien plus graves qu’un simple bug technique. Un hacker situé à une quinzaine de mètres peut forcer l’appairage de vos écouteurs avec son propre appareil. Il peut alors écouter les sons qui transitent, injecter de l’audio, et dans certains cas exploiter le microphone intégré. Les chercheurs parlent explicitement de risques d’écoute clandestine et de détournement audio, y compris dans des lieux publics comme les transports ou les bureaux partagés.
Mais la dimension la plus inquiétante concerne la localisation, car certains modèles compatibles avec le réseau de localisation de Google peuvent être rattachés à un compte tiers à l’insu de leur propriétaire. Cela signifie qu’un casque ou une paire d’écouteurs peut devenir une balise de suivi, traçable via l’infrastructure de Google, même si la victime n’a jamais activé ce type de fonction. Une notification peut apparaître… plusieurs heures ou jours plus tard, et être facilement ignorée.
Presque toutes les marques sont concernées
Les chercheurs ont testé avec succès des attaques sur des modèles de Sony, JBL, Jabra, Xiaomi, Nothing, Marshall, OnePlus, Logitech, Soundcore ou encore Google lui-même. Au total, des centaines de millions d’appareils seraient potentiellement concernés dans le monde. Le problème ne vient pas d’un modèle isolé, mais d’implémentations jugées défaillantes d’un standard pourtant certifié.
Google a reconnu l’existence de WhisperPair et déployé des correctifs côté Android et Fast Pair. Mais dans la pratique, la protection repose presque entièrement sur les fabricants… et sur les utilisateurs. Dans la majorité des cas, les correctifs passent par une mise à jour du firmware des écouteurs, accessible uniquement via une application dédiée que beaucoup n’installent jamais. Sans cette mise à jour, l’appareil reste vulnérable, même sur un smartphone parfaitement à jour.
Le plus troublant, selon les chercheurs, est que certaines failles ont réussi à passer à travers l’ensemble de la chaîne de validation, du développement chez le fabricant, les tests internes, à la certification Google. Pire encore, une partie des correctifs initiaux aurait déjà été contournée en laboratoire, ce qui interroge sur la robustesse réelle des protections actuelles.
Pour les utilisateurs, un objet perçu comme anodin peut devenir un point d’entrée sérieux pour des atteintes à la vie privée. La seule parade aujourd’hui consiste à installer l’application du fabricant, vérifier manuellement les mises à jour de firmware, et éviter de laisser le Bluetooth actif en permanence dans les lieux publics sensibles. Une contrainte supplémentaire, mais devenue indispensable.
🟣 Pour ne manquer aucune news sur le Journal du Geek, suivez-nous sur Google et sur notre canal WhatsApp. Et si vous nous adorez, on a une newsletter tous les matins.
