Écouteurs Bluetooth, attention : les chercheurs découvrent la faille qui peut vous espionner à votre insu (surtout si vous possédez ces modèles)

Une vulnérabilité dans les écouteurs Bluetooth relance la question de la vie privée au quotidien, précisément dans les objets que nous utilisons sans y penser

Nous portons des écouteurs Bluetooth tous les jours, souvent sans nous en rendre compte. Dans le métro, en marchant, à la maison, au travail. Ils sont devenus une présence silencieuse et rassurante, une petite extension de notre smartphone. C'est précisément pour cette raison que la découverte faite par un groupe de chercheurs européens nous fait réfléchir : une vulnérabilité peut transformer ces accessoires communs en outils de suivi et d'écoute.

La faille s'appelle WhisperPair et a été identifiée par des chercheurs de l'Université de Louvain, en Belgique. Il s’agit du système Google Fast Pair, utilisé par de nombreux écouteurs et casques sans fil. Un nom qui signifie peu pour la plupart, mais qui est en fait à l'origine de ce moment où le téléphone « voit » immédiatement les écouteurs dès que le boîtier est ouvert.

Quand le confort devient un problème

Le cœur du problème est simple, et c’est précisément ce qui le rend inquiétant. Certains casques Bluetooth acceptent les demandes de connexion même lorsqu'elles ne le devraient pas, c'est-à-dire sans que l'utilisateur n'ait volontairement initié l'appairage.

En pratique, si une personne malveillante se trouve à proximité – on parle d’une distance comparable à celle d’un arrêt de bus – elle peut appairer vos écouteurs avec son appareil en quelques secondes, sans notifications évidentes, sans avertissements clairs.

L’accessoire n’est alors plus vraiment sous votre contrôle. L'agresseur peut émettre des bruits soudains, perturber le son, mais surtout, dans les modèles équipés d'un microphone, écouter ce qui se passe autour. Conversations privées, appels téléphoniques, bruits domestiques. Tout cela sans que vous vous en rendiez immédiatement compte.

Le risque le plus subtil

Il y a un aspect qui inquiète encore plus les chercheurs, et il est lié à la localisation. Certains écouteurs compatibles Fast Pair fonctionnent également avec Find Hub, le système de suivi de Google conçu pour retrouver les objets perdus.

Si un casque n’a jamais été associé à un compte Google, un attaquant peut le faire à votre place. A partir de cet instant, grâce au réseau de smartphones Android passant à proximité, les déplacements de la victime peuvent être reconstitués. Pas en temps réel comme un GPS, mais avec suffisamment de précision pour comprendre les habitudes, les itinéraires et les lieux fréquentés. Le paradoxe est clair : une fonction créée pour aider peut devenir un outil de surveillance.

Un problème répandu, pas un cas isolé

La vulnérabilité WhisperPair n’affecte pas un seul modèle ou un seul fabricant de niche. Selon l’étude, de nombreux appareils vulnérables ont passé avec succès les tests de qualité et les processus de certification, notamment ceux liés à Google Fast Pair. Parmi les marques impliquées, il y a des noms également connus du public italien, comme Sony, JBL, Xiaomi, OnePlus, Logitech et Google lui-même.

La faille a été signalée en août 2025 et est classée critique avec le code CVE-2025-36911. Certaines mises à jour correctives sont déjà arrivées, mais les chercheurs eux-mêmes appellent à la prudence : .

Qui devrait y prêter plus d'attention et pourquoi il ne s'agit pas seulement d'Android

Un détail souvent négligé est le suivant. Les utilisateurs d'iPhone peuvent également être vulnérables s'ils utilisent des écouteurs tiers compatibles Fast Pair et ne les ont jamais liés à un compte Google. Le point critique, en fait, n'est pas le téléphone, mais l'implémentation du Bluetooth dans les écouteurs eux-mêmes. Et cela rend le problème transversal, difficile à percevoir et encore plus facile à ignorer.

Nous ne sommes pas confrontés à une attaque de science-fiction ou à un scénario de film. L'opération doit avoir lieu rapidement et à proximité de la victime. De plus, lorsque les écouteurs sont fermés dans l’étui, l’attaque ne peut pas démarrer. Cela dit, la sensibilisation reste la seule véritable défense. Mettre à jour le firmware des écouteurs, utiliser des applications officielles pour vérifier les connexions actives et ne pas retarder les mises à jour du système est aujourd'hui le moyen le plus concret de réduire les risques.

Pour ceux qui ont déjà couplé avec succès les écouteurs à leur compte, maintiennent leurs logiciels et applications à jour et font attention aux comportements anormaux, il n’y a aucune raison de s’alarmer. Mais cette histoire nous rappelle quelque chose d’important : même les plus petits objets, ceux que nous tenons pour acquis, peuvent en dire long sur nous.

Source : Whisperpair.eu