Une équipe de chercheurs deKU Louvainen Belgique, a récemment mis au jour une famille de vulnérabilités critiques qui concernent leécosystème d’accessoires audio Bluetoothcollectivement appelés ChuchotementPaire. Ces failles de sécurité exploitent des faiblesses inhérentes à la mise en œuvre de Paire rapide Googletechnologie conçue pour faciliter la synchronisation instantanée entre les appareils et les accessoires (écouteurs véritablement sans fil, écouteurs Et conférencier), transformant une fonctionnalité destinée à faciliter la vie de l’utilisateur en un potentiel vecteur de cyberattaque.
Les études menées par les chercheurs indiquent que le problème ne se limite pas à un seul fabricant, mais représente une défaillance systémique impliquant des centaines de millions d’appareils actuellement sur le marché, y compris des produits phares tels que Google Pixel Buds Pro 2écouteurs Sony de la série WH-1000XM (y compris les versions XM4, XM5 et le XM6) et des produits de marques telles que OnePlus Et Rien. Selon les chercheurs, un attaquant qui se trouve à portée de 14 mètres peut forcer l’appairage avec les casques, écouteurs ou haut-parleurs de la victime sans aucune interaction physique et sans même que l’utilisateur s’en rende compte. Une fois la connexion établie, l’attaquant prend le contrôle total de l’accessoire, pouvant émettre des sons à volume élevé, intercepter le son ambiant via le microphone intégré ou, scénario encore plus insidieux, suivre l’emplacement physique de la victime grâce au réseau mondial. Trouver Hub par Google.
Il est crucial de souligner que cette vulnérabilité réside dans micrologiciel de l’accessoire lui-même et non dans le smartphone : cela signifie que les utilisateurs d’iPhone qui utilisent ces écouteurs sont également exposés au même risque, et la seule solution définitive n’est pas de mettre à jour le téléphone ou de désactiver le Bluetooth, mais installer des mises à jour de firmware spécifiques émis par les fabricants des accessoires audio en question.
WhisperPair : à quel point la faille est insidieuse
Passer au mérite technique de comment se développe l’attaque WhisperPairnous devons prendre du recul et comprendre globalement comment fonctionne le protocole de communication entre les appareils. Normalement, pour démarrer la procédure Paire rapideun appareil « chercheur » (comme un smartphone) envoie un message à un appareil « fournisseur » (l’accessoire audio) indiquant son intention de s’appairer. Selon les spécifications de sécurité, l’appareil du fournisseur doit ignorer ces demandes s’il n’a pas été explicitement placé en « mode couplage » par l’utilisateur (généralement en appuyant sur un bouton physique). Les chercheurs ont cependant constaté que «de nombreux appareils ne parviennent pas à appliquer ce contrôle dans la pratique, permettant à des appareils non autorisés de lancer le processus de couplage». Un attaquant, utilisant du matériel courant (un ordinateur portable, un Raspberry Pi, etc.) et se plaçant à portée de 14 mètrespeut exploiter ce manque de vérification pour établir une connexion Bluetooth standard dans un délai de seulement 10 secondescontournant complètement le consentement de l’utilisateur.
Le implications pour la vie privée devenir encore plus délicat si l’on considère laintégration avec le réseau Find Hub de Google, le système utilisé pour retrouver les appareils perdus grâce à la géolocalisation participative. Le protocole exige que, lors du premier couplage avec un appareil Android, une « clé de compte » soit inscrite sur l’accessoire qui en établit la propriété. Si la victime Utilisez les écouteurs uniquement avec des appareils non Android (par exemple un iPhone ou un PC) ou ne les a jamais associés à un compte Google sur un appareil Android, l’accessoire reste sans propriétaire enregistré. Dans ce scénario, l’attaquant peut injecter sa propre clé et s’enregistrer comme propriétaire légitime. A partir de ce moment, il peut surveiller les mouvements de la victime via le réseau Find Hub. Bien que le système puisse envoyer une notification de « suivi indésirable » à la victime après quelques heures ou jours, il désignera paradoxalement l’appareil de la victime comme source, ce qui amènera l’utilisateur à considérer l’avertissement comme une erreur logicielle, tandis que le suivi se poursuit sans être dérangé.
La gravité de la situation est amplifiée par le fait que ces appareils ont passé avec succès les contrôles de qualité des fabricants et le processus de certification de Google, mettant en évidence une faille dans la chaîne de vérification de sécurité au niveau industriel. Google, informé du problème dansaoût 2025après avoir classé la vulnérabilité comme critique (CVE-2025-36911), pourrait être « travaillez avec vos partenaires de l’écosystème pour publier des correctifs de sécurité». C’est du moins ce que l’on lit dans le rapport rédigé par les chercheurs.
Comment se protéger des cyberattaques
Pour vous protéger efficacement de WhisperPair, il est impératif de comprendre que la mise à jour du système d’exploitation de votre smartphone, qu’il soit Android ou iOS, ne résout pas le problème à la racine. Même restaurer les écouteurs à leurs paramètres d’usine n’est pas une solution, car cela supprime uniquement les appariements existants mais ne corrige pas la faille de code qui permet l’intrusion. La seule véritable défense consiste àmise à jour du firmware de l’accessoire vulnérable. Voici les conseils que donnent eux-mêmes les chercheurs en sécurité :
La seule façon de résoudre cette vulnérabilité consiste à installer une mise à jour logicielle publiée par le fabricant de l’accessoire. Bien que de nombreux fabricants aient publié des correctifs pour les appareils concernés, les mises à jour logicielles peuvent ne pas encore être disponibles pour tous les appareils vulnérables. Nous encourageons les chercheurs et les utilisateurs à vérifier la disponibilité des correctifs directement auprès du fabricant.