Sony, JBL, OnePlus, Pixel Buds, Jabra, Bose : urgence contre « WhisperPair »

Des chercheurs de l’université KU Leuven ont publié des détails sur WhisperPair, une collection de vulnérabilités critiques qui permet à un attaquant situé à moins de 15 mètres de forcer l’appairage avec des appareils Bluetooth. Google affirme avoir déployé des correctifs pour empêcher le tracking, mais les chercheurs ont déjà trouvé une parade pour contourner ces alertes.

Google Fast Pair a pour avantage d’éliminer la complexité des menus Bluetooth, permettant une connexion instantanée. Une notification et un clic suffisent. Cela semble fluide et « magique ». Le problème réside toutefois dans une faille de sécurité majeure.

Une équipe de chercheurs de l’université KU Leuven a récemment publié des détails concernant WhisperPair, un ensemble de vulnérabilités critiques.

En résumé, le protocole qui permet à votre téléphone de reconnaître instantanément vos écouteurs peut être exploité. À l’aide d’un simple Raspberry Pi et d’une antenne Bluetooth, un attaquant situé à moins de 15 mètres peut forcer l’appairage avec vos appareils sans aucune intervention de votre part. Une fois connecté, les conséquences peuvent être graves : écoute clandestine, injection audio et même traçage géographique.

WhisperPair : explication de la faille

Comment cela est-il possible ? Normalement, pour connecter un appareil Bluetooth, il est nécessaire d’effectuer une action physique, comme appuyer sur un bouton pendant quelques secondes pour activer le « mode appairage ». C’est une mesure de sécurité clé : la présence physique.

La faille WhisperPair exploite une grosse erreur d’implémentation. Les appareils vulnérables ne vérifient pas s’ils sont en mode appairage avant d’accepter une connexion Fast Pair. Ils répondent sans discernement. Un attaquant peut donc simuler une demande, et l’appareil, trop poli, accepte la connexion. En moins de 15 secondes, le pirate est connecté.

La liste des potentiels victimes est longue. Les chercheurs ont identifié 17 modèles vulnérables provenant de 10 fabricants. Parmi ceux-ci, on trouve des produits très connus : les Sony WH-1000XM6 (ainsi que les précédents XM5/XM4), les Pixel Buds Pro 2 de Google, les Nothing Ear (a), et les OnePlus Nord Buds 3 Pro.

Bien que l’idée qu’un inconnu puisse écouter votre microphone dans un train soit inquiétante, la réalité technique l’est encore plus. Le principal risque concerne le réseau Find My Device (Localiser mon appareil).

Un attaquant peut forcer l’appairage de vos écouteurs avec son compte Google. Du point de vue du système, vos écouteurs lui appartiennent désormais. Par conséquent, il peut suivre vos déplacements en temps réel sur une carte, en profitant de la précision du réseau de localisation de Google. Cela représente un outil de harcèlement redoutable.

Google a annoncé avoir déployé des correctifs pour empêcher ce genre de traçage et alerter les utilisateurs. Cependant, les chercheurs ont déjà trouvé des méthodes pour contourner ces alertes.

Bien que Google ait réagi (l’alerte ayant été émise en août 2025), la sécurité de vos appareils n’est pas uniquement tributaire d’une mise à jour Android automatique. Elle dépend aussi du firmware de vos écouteurs. Vous devrez donc ouvrir des applications comme Sony Headphones Connect ou JBL Headphones pour mettre à jour le logiciel de ces dispositifs.