Une vulnérabilité récemment découverte dans les écouteurs Bluetooth ouvre la voie à des risques d’interception et de suivi. Les chercheurs de l’Université KU Leuven mettent en lumière cette faille, laissant entendre que des dispositifs courants peuvent potentiellement devenir des outils de surveillance.
Des écouteurs Bluetooth ont révélé une faille appelée WhisperPair. Selon un communiqué de l’Université KU Leuven en Belgique, cette vulnérabilité accorde l’accès aux micro et permet de suivre la localisation des dispositifs. Ces accessoires audio, usuellement considérés comme inoffensifs, peuvent se transformer en outils de surveillance potentiels.
Les chercheurs ont précisé que cette faille concerne plusieurs fournisseurs et chipsets, y compris des modèles ayant passé le contrôle qualité des fabricants et la certification Google, mettant en évidence un problème de sécurité systémique. La bonne nouvelle ? Malgré les craintes d’interceptions et de suivis non désirés, les experts s’accordent à dire que le risque réel pour les utilisateurs est limité. La mauvaise ? Cela démontre que même les fonctions les plus banales de dispositifs numériques cachent des zones de vulnérabilité.
Quel est le principe de l’attaque “WhisperPair” ?
Le rapport indique que la vulnérabilité ne concerne pas le protocole Bluetooth lui-même, mais une mauvaise implémentation de la norme Fast Pair par de nombreux fabricants. Fast Pair devrait permettre de nouvelles connexions uniquement lorsque le dispositif est explicitement en mode de couplage, mais beaucoup d’accessoires ne respectent pas cette vérification. Cette faille permet à un attaquant se trouvant à environ 10 à 14 mètres de rompre la connexion existante et de prendre le contrôle de l’appareil Bluetooth. De plus, il peut transmettre de l’audio ou écouter via le microphone intégré tout en suivant la position de la victime avec la plateforme de localisation Google Find Hub.
Quels dispositifs sont touchés ?
Les modèles vulnérables comprennent plusieurs produits, tels que :
- Sony WH-1000XM6
- Pixel Buds Pro 2
- Soundcore Liberty 4 NC
- Jabra Elite 8 Active
- Nothing Ear a
- OnePlus Nord Buds 3 Pro
Dans certains cas, cette vulnérabilité a été trouvée même sur des dispositifs certifiés par Google, soulevant des interrogations sur leur système de validation. Comme le rapporte Wired, Google aurait alerté les producteurs dès septembre dernier, demandant de libérer des mises à jour au plus vite. La plupart des entreprises ont déjà distribué des correctifs, d’autres étant en cours de déploiement.
Écoute et localisation : les risques de la faille
Les experts appellent à la prudence : les écouteurs ne sont pas conçus pour espionner, mais pour capter sélectivement la voix de l’utilisateur, filtrant presque tout le reste. Lors des tests réalisés par les chercheurs, les microphones ont montré des limites évidentes. S’ils sont éloignés de l’oreille, ils ne parviennent pas à recueillir des sons clairs, ne captant que des bribes de mots et des bruits ambiants. Sur une table, dans une poche ou posés dans un sac, il est rare qu’ils enregistrent une phrase compréhensible, encore moins une conversation entre personnes proches. Selon Sayon Duttagupta, l’un des auteurs de l’étude, l’enquête a confirmé la possibilité technique d’accès au micro, mais non son efficacité dans des scénarios quotidiens.
Si l’écoute clandestine représente un risque modeste, le problème change en matière de localisation. C’est ici que WhisperPair révèle son aspect le plus préoccupant. Le problème surgit lorsqu’un accessoire Bluetooth n’a jamais été connecté à un compte Google. Dans ce cas, un attaquant à proximité peut l’associer à son propre compte, l’intégrant à la réseau de suivi de Google, qui permet de retrouver des appareils perdus. Dès lors, l’oreillette ou l’écouteur agit comme un marqueur géographique qui suit la victime, en mettant à jour la position à chaque croisement avec un dispositif Android à proximité.
Comment se protéger ?
La vulnérabilité réside dans le firmware des accessoires, aucune option sur le téléphone ne permet de la désactiver. Cependant, il existe des mesures pour atténuer les risques associés à cette faille. Tout d’abord, mettez à jour le firmware des écouteurs via l’application du fabricant. Il est également essentiel de s’assurer que le smartphone est à jour, surtout pour Android et les applications gérant Fast Pair. Une étape souvent négligée, mais crucial, consiste à associer l’accessoire à son compte Google en utilisant Fast Pair : cette simple action empêche un éventuel hacker de enregistrer le dispositif sur un autre compte et de l’utiliser pour le suivi.
Ce cas met en lumière un dilemme central dans la technologie grand public : souvent, des fonctions comme le couplage simplifié cachent des complexités critiques sur le plan de la sécurité. WhisperPair démontre que même les fonctionnalités conçues pour faciliter l’utilisation des dispositifs peuvent présenter des risques réels. La mise à jour du firmware et des applications, ainsi que l’association des accessoires à son compte, demeurent le seul moyen de protéger sa vie privée dans un écosystème de plus en plus interconnecté.