La fonction Fast Pair développée par Google facilite le jumelage d’écouteurs ou de casques avec un smartphone Android. Un processus tellement simple… et qui cache pourtant une faille de sécurité très sérieuse. Google a publié un correctif, mais tous les utilisateurs ne sont pas sortis de l’auberge.
Fast Pair est devenu un standard de fait pour connecter rapidement des accessoires Bluetooth sur Android. Il suffit souvent d’approcher un casque ou des écouteurs d’un smartphone pour qu’une notification apparaisse et que la connexion s’établisse presque automatiquement. Indéniablement, c’es ton confort appréciable, surtout quand on a connu les affres du jumelage Bluetooth !
Un gros trou dans Fast Pair
Mais voilà, des chercheurs en sécurité de l’université KU Leuven (Louvain, en Belgique) ont identifié une faille baptisée WhisperPair. Celle-ci permet à un attaquant de forcer une connexion avec un appareil compatible Fast Pair, même lorsque celui-ci n’est pas officiellement en mode d’appairage. Dans la pratique, il suffit d’une dizaine de secondes pour détourner la connexion, et ce jusqu’à une distance d’environ 14 mètres — quasiment la portée maximale du Bluetooth.
Le problème concerne plus d’une dizaine de modèles, issus d’au moins dix fabricants différents. Parmi eux figurent Sony, Nothing, JBL, OnePlus, et Google lui-même. Autrement dit, le risque dépasse largement l’écosystème Android « pur » : même sans utiliser activement un produit Google, un utilisateur peut être exposé.
Après le détournement de la connexion, les usages malveillants peuvent aller bien au-delà d’une simple nuisance sonore. Certes, un attaquant peut interrompre la musique ou diffuser un son de son choix, mais WhisperPair peut aller bien plus loin : accès au microphone, écoute de conversations, suivi des déplacements via le signal Bluetooth… Les chercheurs évoquent clairement un potentiel d’espionnage.
La racine du problème tient à une implémentation incomplète du standard Fast Pair. En théorie, un appareil Bluetooth ne devrait accepter une demande d’appairage que lorsqu’il est explicitement en mode connexion. En pratique, plusieurs modèles ignorent cette vérification et acceptent la requête quoi qu’il arrive. WhisperPair exploite cette faiblesse en passant par le processus Bluetooth classique, contournant ainsi les garde-fous du système.
Prévenu en amont, Google a déployé un correctif pour ses propres produits, tout en précisant n’avoir connaissance d’aucune exploitation active de WhisperPair dans la nature, ce qui est rassurant. Ce qui l’est moins, c’est que contrairement aux smartphones ou aux ordinateurs, les accessoires audio ne bénéficient pas toujours de mises à jour automatiques. Beaucoup d’utilisateurs n’installent jamais l’application compagnon de leur casque ou de leurs écouteurs, et laissent le firmware dans son état d’origine. Problème supplémentaire : Fast Pair ne peut pas être désactivé manuellement sur les appareils compatibles.
Les chercheurs expliquent en outre avoir déjà trouvé des moyens de contourner le premier correctif de Google. Les autres fabricants devront chacun développer et diffuser leurs propres mises à jour, un processus qui pourrait prendre des semaines, voire des mois.
Les recommandations pour se tirer de ce mauvais pas sont limitées. Installer l’application officielle du fabricant pour recevoir les mises à jour dès leur disponibilité reste en définitive la meilleure option. En cas de doute sérieux, une réinitialisation complète de l’appareil permet de rompre une éventuelle connexion frauduleuse au prix, toutefois, de devoir tout reconfigurer.
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp.
Source :
Wired