Selon Kaspersky, des chercheurs de l’université UCLouvain ont dévoilé la vulnérabilité WhisperPair (CVE-2025-36911) affectant des écouteurs/casques Bluetooth implémentant Association express (Google Fast Pair), permettant un appairage non sollicité et un traçage via le réseau Localiser de Google.
• Découverte et périmètre: La faille touche des modèles de marques comme Sony, JBL, Redmi, Anker, Marshall, Jabra, OnePlus et même Google (Pixel Buds 2). Bien que la technologie provienne d’Android, le risque est plus élevé pour les utilisateurs d’iOS, macOS, Windows ou Linux. La liste des appareils affectés est consultable sur le site des chercheurs (whisperpair.eu), mais elle n’est pas exhaustive. 🎧
• Mode opératoire: Un appareil attaquant (smartphone/tablette/PC) diffuse des requêtes Fast Pair à jusqu’à 14 mètres. De nombreux écouteurs vulnérables répondent même hors mode d’appairage, permettant une connexion en ≈10 secondes. Une fois connectés, les attaquants peuvent écouter le microphone, diffuser de l’audio et, pour certains modèles, activer la localisation via Google Localiser. 📍
• Risque accru pour iPhone et non‑Android: Lors d’une première interaction via Fast Pair, une clé liée au compte Google est enregistrée dans l’accessoire. Si l’accessoire n’a jamais été associé à un appareil Android (par ex. utilisé seulement avec un iPhone ou un PC), l’attaquant peut enregistrer sa propre clé comme clé « propriétaire » et suivre l’accessoire partout via le réseau d’appareils Android. Les utilisateurs Android ayant déjà appairé leurs écouteurs via Fast Pair sont moins exposés à ce scénario. Tous les appareils vulnérables ne supportent toutefois pas la fonction Localiser.
• Mitigations: La correction durable nécessite une mise à jour du micrologiciel via l’appli compagnon, puis une réinitialisation usine pour purger les appareils mémorisés. Sans mise à jour disponible et en usage sur iOS/macOS/Windows/Linux, il est recommandé d’utiliser un smartphone Android de confiance pour revendiquer le rôle de propriétaire afin d’empêcher l’ajout furtif à Google Localiser. 🔒
• Mise à jour Google: En janvier 2026, Google a diffusé une mise à jour Android pour atténuer la faille côté système d’exploitation (détails non publiés). Il est probable que les smartphones à jour ne remontent plus la position d’accessoires détournés, mais le déploiement hétérogène d’Android laisse prévoir une persistance du risque pendant encore plusieurs années.
TTPs observés (haut niveau):
- Diffusion de requêtes Google Fast Pair à proximité (≈14 m)
- Appairage non sollicité d’accessoires répondant hors mode d’appairage
- Enregistrement d’une clé liée à un compte Google sur l’accessoire
- Exfiltration d’audio (micro) / injection audio (lecture)
- Suivi via le réseau Google Localiser lorsque pris en charge
IOCs: Aucun indicateur technique (hash, IP, domaine malveillant) n’est fourni.
Type d’article: synthèse d’une vulnérabilité avec impacts, périmètre affecté et mesures d’atténuation.
🔗 Source originale : https://www.kaspersky.fr/blog/whisperpair-blueooth-headset-location-tracking/23531/