Une équipe de chercheurs en sécurité de l’université belge KU Leuven a mis au jour une faille critique (CVE-2025-36911) affublée du petit nom de WhisperPair. Celle-ci est en lien avec Fast Pair de Google, utilisé par des centaines de millions d’accessoires audio pour un appairage Bluetooth simplifié.
Des marques comme Sony, Google, JBL, OnePlus, Nothing ou encore Xiaomi sont concernées, exposant leurs utilisateurs à des risques d’écoute et de pistage, indépendamment d’un smartphone Android ou d’un iPhone, puisque la faille réside au niveau de l’implémentation de Fast Pair dans les accessoires Bluetooth.
Comment une simple erreur d’implémentation ouvre-t-elle la porte au piratage ?
Le problème se situe dans une étape du protocole Fast Pair que de nombreux fabricants ont négligée. La spécification de Google exige qu’un accessoire ignore toute demande d’association s’il n’est pas explicitement en mode appairage.
Cependant, les chercheurs ont constaté que » beaucoup d’appareils n’appliquent pas cette vérification en pratique, permettant à des appareils non autorisés à démarrer le processus d’appairage » avec un équipement standard.
Un attaquant peut forcer la connexion en quelques secondes, avec un équipement tel un ordinateur portable ou un Raspberry Pi, et ce jusqu’à une distance de 14 mètres. Une fois le contrôle obtenu, il peut diffuser de l’audio à plein volume ou, plus inquiétant, activer le micro pour écouter les conversations environnantes, à l’insu de l’utilisateur.
Quels sont les risques au-delà de l’écoute clandestine ?
L’attaque WhisperPair ne se limite pas à l’espionnage audio. Elle ouvre également la voie au suivi de localisation via le réseau Find Hub de Google, normalement destiné à retrouver des accessoires perdus.
Si un accessoire vulnérable n’a jamais été associé à un appareil Android, un attaquant peut l’enregistrer sur son propre compte Google. » La victime peut recevoir une notification de suivi indésirable après plusieurs heures ou jours, mais cette notification affichera son propre appareil « , expliquent les chercheurs.
Cette confusion peut amener l’utilisateur à ignorer l’alerte, la considérant comme un bug, et permettre ainsi au pirate de continuer à suivre sa victime pendant une longue période.
Comment se protéger contre cette menace ?
Désactiver la fonction Fast Pair sur un smartphone Android est par exemple inutile, parce que la faille se situe directement dans le firmware de l’accessoire. » La seule façon de prévenir les attaques WhisperPair est d’effectuer une mise à jour du firmware de l’accessoire « , soulignent les chercheurs.
Mis au courant en août 2025 et avec une fenêtre de divulgation de 150 jours, Google a versé une prime de 15 000 dollars aux chercheurs et a collaboré avec les fabricants pour déployer des correctifs. Il est donc impératif pour les utilisateurs de vérifier la disponibilité de mises à jour via l’application compagnon de leur appareil.
Sur un site dédié à WhisperPair, il est possible de rechercher si un accessoire Bluetooth est vulnérable.