Faille Bluetooth Axon : les policiers australiens géolocalisables via tasers et caméras corporelles

🗓️ Contexte

Article de presse d’investigation publié le 3 mai 2026 par ABC News (Four Corners), basé sur le travail d’un chercheur en sécurité anonyme ayant découvert et signalé la vulnérabilité dès 2024.

🔍 Nature de la vulnérabilité

Les équipements Axon Bluetooth (tasers T7, T10 et caméras corporelles) utilisent une adresse MAC fixe et publique non randomisée, contrairement aux pratiques de confidentialité standard (ex : Apple iPhone). Cette adresse MAC statique permet à quiconque disposant d’un téléphone ou d’un ordinateur portable de détecter, identifier et géolocaliser en temps réel les officiers de police portant ces équipements.

🛠️ Méthode d’exploitation

Utilisation d’applications Android disponibles sur le Play Store (non nommées dans l’article)
Récupération automatique de la latitude, longitude, modèle et numéro de série de chaque appareil détecté
Portée démontrée jusqu’à 400 mètres avec un simple laptop ou téléphone
Scalabilité possible via des dizaines d’unités de scan Bluetooth bon marché positionnées autour d’une zone, permettant un suivi sur carte en temps réel
Le chercheur a également développé son propre logiciel proof-of-concept

🚨 Impact et exposition

Dispositifs potentiellement vulnérables en Australie :

NSW — Caméras corporelles Axon + tasers T7
VIC — Caméras corporelles Axon + tasers T7
QLD — Caméras corporelles Axon + tasers T10
WA — Caméras corporelles Axon + tasers T7
TAS — Essai prévu des tasers T10
NT — Caméras corporelles Axon
Police Fédérale Australienne (dont ACT) — Tasers T7
SA — T10 non affectés (non intégrés Bluetooth)

La vulnérabilité est décrite comme déjà exploitée à l’étranger : des agents de la Border Patrol américaine auraient été invités à cesser d’utiliser les caméras Axon sur le terrain après identification de risques similaires.

🏢 Réponse des parties prenantes

Victoria Police : a reçu l’alerte en 2024, a évalué le risque comme réel en interne, puis a classé l’affaire sans suite après consultation d’Axon
Axon : reconnaît la vulnérabilité dans les petits caractères de sa page de sécurité ; admet que le mode « Stealth Mode » ne désactive pas les émissions radio ; indique travailler sur des améliorations depuis 2023, trop tard pour les modèles T7 et T10
Axon n’a pas répondu aux questions de l’ABC
Toutes les autres agences de police contactées ont refusé de commenter ou de confirmer des mesures prises
Aucun syndicat policier n’a commenté

⚙️ Caractère non patchable

Selon le chercheur, la vulnérabilité est matérielle et non corrigeable par mise à jour logicielle : l’ensemble du système devrait être reconçu depuis zéro, ce qui placerait Axon dans une position industrielle et financière très difficile en cas de rappel des appareils.

📰 Type d’article

Article de presse d’investigation grand public (Four Corners / ABC News), visant à alerter l’opinion publique et les autorités sur une vulnérabilité matérielle connue mais non traitée affectant la sécurité opérationnelle des forces de l’ordre australiennes.

🧠 TTPs et IOCs détectés

TTP

T1430 — Location Tracking (Collection)
T1040 — Network Sniffing (Discovery)

🔴 Indice de vérification factuelle : 33/100 (basse)

⬜ abc.net.au — source non référencée (0pts)
✅ 9890 chars — texte complet (fulltext extrait) (15pts)
⬜ aucun IOC extrait (0pts)
⬜ pas d’IOC à vérifier (0pts)
✅ 2 TTP(s) MITRE (8pts)
✅ date extraite du HTML source (10pts)
⬜ aucun acteur de menace nommé (0pts)
⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://www.abc.net.au/news/2026-05-04/police-location-tracked-bluetooth-flaw-axon-tasers-bodycams/106610886

🗓️ Contexte#

🔍 Nature de la vulnérabilité#

🛠️ Méthode d’exploitation#

🚨 Impact et exposition#

🏢 Réponse des parties prenantes#

⚙️ Caractère non patchable#

📰 Type d’article#

🧠 TTPs et IOCs détectés#

TTP#

🔴 Indice de vérification factuelle : 33/100 (basse)#