Selon BleepingComputer (Sergiu Gatlan), des chercheurs de KU Leuven ont dévoilé une vulnérabilité critique, baptisée WhisperPair (CVE-2025-36911), dans le protocole Fast Pair de Google. Elle touche des centaines de millions de casques, écouteurs et enceintes Bluetooth, indépendamment du système d’exploitation du smartphone, car la faille réside dans les accessoires eux‑mêmes.

Le problème provient d’implémentations incorrectes du protocole Fast Pair : bien que la spécification exige qu’un accessoire ignore les requêtes d’appairage hors « mode appairage », de nombreux produits ne font pas ce contrôle. Un attaquant peut ainsi initier la procédure Fast Pair, obtenir une réponse du périphérique vulnérable, puis terminer l’opération via un appairage Bluetooth classique — le tout sans consentement de l’utilisateur.

Impact et portée : des attaquants, avec n’importe quel équipement Bluetooth (ordinateur, Raspberry Pi, téléphone), peuvent forcer l’appairage à jusqu’à 14 mètres, en quelques secondes et sans interaction ni accès physique. Une fois appairés, ils obtiennent un contrôle complet de l’accessoire, pouvant diffuser de l’audio à fort volume ou écouter les conversations via le microphone. Des marques affectées incluent Google, Jabra, JBL, Logitech, Marshall, Nothing, OnePlus, Sony, Soundcore et Xiaomi.

Traçage: CVE-2025-36911 permet aussi de suivre la localisation via le réseau « Google’s Find Hub » si l’accessoire n’a jamais été appairé à un appareil Android, en l’ajoutant au compte Google de l’attaquant. La victime peut recevoir une notification de suivi indésirable après plusieurs heures ou jours, mais celle-ci affichera son propre appareil, ce qui peut inciter à l’ignorer et prolonger le suivi.

Correctifs et mitigations: Google a attribué la prime maximale de 15 000 $ et a collaboré avec les fabricants pour diffuser des correctifs durant une fenêtre de divulgation de 150 jours. Des mises à jour de sécurité peuvent toutefois ne pas être encore disponibles pour tous les appareils vulnérables. La seule défense est d’installer les mises à jour de firmware des fabricants; désactiver Fast Pair sur Android ne bloque pas l’attaque, la fonctionnalité ne pouvant pas être désactivée sur les accessoires.

TTPs observées:

  • Forçage d’appairage Fast Pair hors mode appairage (contournement de l’état « pairing »)
  • Finalisation par appairage Bluetooth classique
  • Prise de contrôle audio et écoute via microphone 🎧
  • Ajout de l’accessoire au compte Google de l’attaquant pour suivi via Find Hub

IOCs: Aucun indicateur technique spécifique mentionné.

Type d’article: article de presse spécialisé visant à informer sur une vulnérabilité critique, son impact et la disponibilité de correctifs.

🔗 Source originale : https://www.bleepingcomputer.com/news/security/critical-flaw-lets-hackers-track-eavesdrop-via-bluetooth-audio-devices/