Les écouteurs Sony, JBL, OnePlus, Pixel Buds, Jabra et Bose nécessitent une mise à jour immédiate contre la faille WhisperPair
La fonction de jumelage instantané sur les écouteurs sans fil offre une commodité remarquable. Lorsque vous ouvrez vos écouteurs, une notification apparaît automatiquement sur votre téléphone, permettant une connexion rapide. Cependant, des chercheurs ont découvert que cette simplicité cache une vulnérabilité de sécurité majeure nommée WhisperPair. N’importe qui peut exploiter cette faille pour prendre le contrôle de vos appareils en moins de quinze secondes.
Le protocole Google Fast Pair repose sur une authentification insuffisante. Normalement, l’appairage Bluetooth nécessite une action manuelle : maintenir enfoncé un bouton pour activer le mode d’appairage. Cette étape physique constitue la barrière de sécurité principale. WhisperPair contourne complètement cette protection en exploitant une défaillance d’implémentation grave chez plusieurs fabricants.
Les appareils vulnérables ne vérifient pas correctement si le mode d’appairage est réellement activé avant d’accepter une connexion. Un attaquant équipé d’un simple Raspberry Pi et d’une antenne Bluetooth, positionné à moins de quinze mètres de distance, peut simuler une demande de jumelage. L’appareil accepte alors la connexion sans intervention de l’utilisateur. Dix-sept modèles d’écouteurs chez dix fabricants se révèlent vulnérables.
Les marques affectées incluent Sony avec ses modèles WH-1000XM6, WH-1000XM5 et WH-1000XM4, les Pixel Buds Pro 2 de Google, les Nothing Ear (a) et les OnePlus Nord Buds 3 Pro. Une fois connectés frauduleusement aux écouteurs d’une victime, les pirates accèdent à plusieurs menaces potentielles : l’écoute clandestine, l’injection audio malveillante et le traçage géographique en temps réel.
Le danger le plus préoccupant concerne le réseau Find My Device de Google. Lorsqu’un attaquant force l’appairage avec les écouteurs d’une victime, le système les enregistre sous le compte du pirate. Cette appropriation frauduleuse permet le suivi précis des déplacements via l’infrastructure de localisation Google, transformant les écouteurs en dispositif de surveillance portable. Google a déployé des correctifs et des alertes, mais les chercheurs ont déjà identifié des méthodes pour contourner ces protections.
La correction de cette vulnérabilité dépend entièrement des mises à jour du firmware des écouteurs plutôt que des mises à jour Android automatiques. Les utilisateurs doivent manuellement mettre à jour leurs appareils via les applications dédiées de chaque fabricant, telles que Sony Headphones Connect ou JBL Headphones. Cette responsabilité individuelle complique la sécurisation globale de ces appareils populaires.
