Une vulnérabilité dans Google Fast Pair fait de centaines de millions d’écouteurs et de casques Bluetooth une proie facile pour les pirates, selon des chercheurs de la KU Leuven.
Utilisez-vous un casque ou des écouteurs sans fil pour téléphoner et écouter de la musique en déplacement ? Bien que l’objectif d’un casque soit précisément de vous isoler du monde extérieur, il est possible que quelqu’un vous ait déjà écouté. Des informaticiens de la KU Leuven révèlent une vulnérabilité critique dans un protocole Bluetooth largement utilisé de Google.
Les vulnérabilités se trouvent spécifiquement dans Fast Pair. Cette fonction, intégrée à Android et ChromeOS, vous permet de connecter vos appareils sans fil à votre smartphone d’un simple toucher. La fonction a été introduite par Google pour réduire les tracas liés aux connexions Bluetooth, mais cette facilité d’utilisation comporte des risques.
lire aussi
3 façons de connecter rapidement des appareils Bluetooth à votre PC
Écoute clandestine
Des chercheurs de COSIC, le département de sécurité informatique et de cryptographie de la KU Leuven, ont découvert que Fast Pair peut être utilisé à mauvais escient pour écouter clandestinement avec des casques sans fil. La vulnérabilité est nommée WhisperPair, officiellement CVE-2025-36911, et affecte des millions d’écouteurs et de casques de fabricants populaires. Environ deux casques sur trois testés se sont avérés vulnérables, y compris des appareils qui ont passé le processus de certification de Google.
La fonction Fast Pair permet de connecter votre casque à votre smartphone d’un simple toucher, sans avoir à ouvrir le menu Bluetooth. Cela ne peut normalement se faire que pour les appareils de confiance. Un attaquant qui se trouve à portée Bluetooth peut facilement connecter son propre appareil via la fonction, sans que vous ne vous en rendiez compte.
Cela est dû au fait que les fabricants de casques n’appliquent pas correctement le protocole et approuvent la demande de connexion sans vérifier si vous avez appuyé sur le bouton, explique le professeur Bart Preneel dans De Morgen. En quelques secondes seulement, le pirate prend ainsi le contrôle de votre casque.
À partir de ce moment-là, les conversations téléphoniques peuvent notamment être enregistrées, ou un attaquant peut même vous traquer via le réseau Localiser mon appareil de Google. La vulnérabilité a été transmise à Google et un correctif devrait maintenant être disponible pour la plupart des appareils. Vérifiez si votre casque a des mises à jour et effectuez-les dès que possible.