Source: COSIC (KU Leuven), 16 janvier 2026.
Des chercheurs du groupe COSIC de la KU Leuven présentent “WhisperPair”, une famille d’attaques exploitant une mauvaise implémentation de Google Fast Pair sur de nombreux accessoires audio Bluetooth. Classée critique par Google sous CVE-2025-36911, la faille permet à un attaquant d’hijacker des écouteurs/casques et, dans certains cas, d’en suivre la localisation via le réseau Google Find Hub. Les correctifs dépendent des fabricants d’accessoires et nécessitent une mise à jour du firmware. 🎧🔒
-
Nature de la vulnérabilité: des accessoires n’appliquent pas correctement l’état « en mode appairage » exigé par la spécification Fast Pair. Un appareil attaquant (Seeker) peut initier la procédure même si l’accessoire (Provider) n’est pas en mode appairage, puis terminer par un appairage Bluetooth classique.
-
Impact immédiat: prise de contrôle de l’accessoire en quelques secondes (médiane 10 s) jusqu’à 14 m de distance, sans accès physique ni interaction utilisateur; possibilité de jouer de l’audio à fort volume ou d’enregistrer via le microphone.
-
Traçage de localisation: si l’accessoire n’a jamais été appairé à un appareil Android, l’attaquant peut l’ajouter au réseau Find Hub avec son propre compte Google. L’Account Key écrite en premier devient la clé propriétaire, permettant le pistage. Les notifications anti-pistage peuvent apparaître tardivement et indiquer le propre appareil de la victime, induisant celle-ci en erreur. 📍
-
Portée de l’écosystème: l’attaque vise les accessoires (pas les smartphones) et touche aussi les utilisateurs iPhone; la fonction Fast Pair ne peut pas être désactivée côté accessoire. Les chercheurs soulignent un échec systémique: des produits phares ont passé les tests QA des fabricants et la certification Google.
-
Divulgation et correctifs: vulnérabilité signalée à Google en août 2025, fenêtre de 150 jours convenue; bounty maximal (15 000 $) accordé. Le correctif unique consiste en une mise à jour logicielle/firmware de l’accessoire; la réinitialisation d’usine ne corrige pas la faille. Les auteurs proposent une liaison cryptographique de l’intention d’appairage dans la dérivation de clé pour prévenir de futurs cas.
TTPs observées:
- Forçage de la procédure Fast Pair hors mode appairage (contournement de l’état requis)
- Appairage Bluetooth classique finalisé après réponse du périphérique vulnérable
- Suivi via Find Hub en inscrivant une Owner Account Key sur un accessoire jamais associé à Android
- Utilisation de matériel grand public (téléphone, laptop, Raspberry Pi), portée ~14 m, exécution en ~10 s
IOCs: Aucun indicateur technique (hash, IP, domaine) n’est communiqué dans le texte.
Article de type: publication de recherche décrivant une vulnérabilité, ses impacts, sa divulgation responsable et les conditions de remédiation.
🧠 TTPs et IOCs détectés
TTP
Forçage de la procédure Fast Pair hors mode appairage (contournement de l’état requis), Appairage Bluetooth classique finalisé après réponse du périphérique vulnérable, Suivi via Find Hub en inscrivant une Owner Account Key sur un accessoire jamais associé à Android, Utilisation de matériel grand public (téléphone, laptop, Raspberry Pi), portée ~14 m, exécution en ~10 s
IOC
Aucun indicateur technique (hash, IP, domaine) n’est communiqué dans le texte.
🔗 Source originale : https://whisperpair.eu/