Une faille de sécurité affecte les appareils Bluetooth de marques reconnues, permettant potentiellement l’accès aux microphones. Cette vulnérabilité touche de nombreux dispositifs audio et soulève des inquiétudes quant à la protection des données personnelles. La mise à jour est essentielle pour parer à ces menaces.
Une vulnérabilité Bluetooth impacte des appareils de marques telles que Sony, Bose et JBL, permettant une écoute potentielle via le microphone. Plus de deux douzaines de dispositifs audio populaires, tels que des écouteurs, des haut-parleurs, des casques et des microphones sans fil, sont concernés. Cela signifie qu’il est possible d’écouter ce que votre smartphone enregistre.
Les cybercriminels pourraient vous espionner et même, sur certains smartphones, voler vos contacts et votre historique d’appels. Les attaques peuvent être bien plus sophistiquées qu’on ne l’imagine, tout en tenant compte des limites de cette connectivité.
Vulnérabilités et dispositifs touchés
Des chercheurs de l’entreprise de cybersécurité ERNW ont mis en lumière trois vulnérabilités dans les systèmes de puces Airoha, utilisées dans les écouteurs True Wireless Stereo (TWS). Les vulnérabilités en question sont les suivantes :
- CVE-2025-20700 (gravité moyenne) : absence d’authentification pour les services GATT
- CVE-2025-20701 (gravité moyenne) : absence d’authentification pour Bluetooth BR/EDR
- CVE-2025-20702 (gravité élevée) : capacités critiques d’un protocole personnalisé
Les appareils touchés par cette vulnérabilité comprennent ceux énumérés ci-dessous, entre autres :
- Beyerdynamic Amiron 300
- Écouteurs Bose QuietComfort
- Émetteur Bluetooth Auracast EarisMax
- Jabra Elite 8 Actif
- JBL Charge 2
- JBL Live Buds 3
- Jlab Epic Air Sport ANC
- Marshall ACTON III
- Marshall MAYOR V
- Marshall MINOR IV
- Marshall MOTIF II
- Marshall STANMORE III
- Marshall WOBURN III
- MoerLabs EchoBeatz
- Sony CH-720N
- Sony Link Buds S
- Sony ULT Wear
- Sony WF-1000XM3
- Sony WF-1000XM4
- Sony WF-1000XM5
- Sony WF-C500
- Sony WF-C510-GFP
- Sony WH-1000XM4
- Sony WH-1000XM5
- Sony WH-1000XM6
- Sony WH-CH520
- Sony WH-XB910N
- Sony WI-C100
- Teufel Tatws2
Ces appareils Bluetooth sont reconnus comme affectés, mais il pourrait y en avoir bien d’autres. Au cours de leurs tests, les chercheurs ont découvert qu’une chanson de Lady Gaga était en train d’être jouée à partir des écouteurs sélectionnés. Bien que cela puisse sembler inoffensif, cette situation permet non seulement d’espionner, mais aussi de prendre le contrôle de la connexion entre le téléphone et le dispositif et d’utiliser le Bluetooth mains libres pour diverses actions selon les paramètres du téléphone, parmi lesquelles des activités potentiellement dangereuses. Ils peuvent accepter ou refuser des appels, invoquer des assistants vocaux, espionner et bien d’autres.
Airoha a publié un SDK mis à jour, mais de nombreux appareils n’ont pas encore été dotés de la mise à jour corrigeant ces vulnérabilités. Espérons qu’elle sera bientôt offerte à tous, car ce sont les fabricants qui doivent fournir cette nouvelle version aux utilisateurs. Si une mise à jour se présente sur votre appareil, téléchargez-la au plus vite, car elle pourrait contenir le correctif nécessaire.
Cependant, il est important de noter qu’étant donné qu’il s’agit d’une vulnérabilité Bluetooth, l’attaquant doit être à portée. Selon les chercheurs d’ERNW, bien que l’attaque nécessite une proximité physique, généralement d’environ 10 mètres, le risque augmente considérablement dans des lieux publics fréquentés comme les aéroports ou les cafés. Même si une attaque est peu probable, il est sage de rester vigilant.