Google Fast Pair est pratique : fini les menus Bluetooth obscurs, place à la connexion instantanée. Une notification, un clic, c’est réglé. C’est fluide, c’est « magique ». Le problème ? Cette simplicité repose sur une négligence de sécurité fondamentale.
Des chercheurs de l’université KU Leuven viennent de publier les détails de WhisperPair, une collection de vulnérabilités critiques.
En gros, le protocole qui permet à votre téléphone de reconnaître vos écouteurs instantanément peut être détourné. Avec un simple Raspberry Pi et une antenne Bluetooth, un attaquant situé à moins de 15 mètres peut forcer l’appairage avec vos appareils. Sans que vous ne touchiez à rien. Et une fois connecté ? C’est la porte ouverte à tout : écoute clandestine, injection audio, et pire encore, traçage géographique.
WhisperPair : on vous explique la faille
Comment est-ce possible ? Normalement, pour connecter un appareil Bluetooth, vous devez effectuer une action physique : appuyer sur un bouton pendant quelques secondes pour passer en « mode appairage ». C’est la clé de voûte de la sécurité : la présence physique.
La faille WhisperPair exploite une erreur d’implémentation grossière. Les appareils vulnérables ne vérifient pas s’ils sont réellement en mode appairage avant d’accepter une connexion Fast Pair. Ils répondent aveuglément. Un attaquant peut donc simuler une demande, et l’accessoire, trop poli, accepte la connexion. En moins de 15 secondes, le pirate est connecté.
La liste des victimes potentielles est longue. Les chercheurs ont identifié 17 modèles vulnérables chez 10 constructeurs. Parmi eux, du très beau monde : les Sony WH-1000XM6 (et les précédents XM5/XM4), les Pixel Buds Pro 2 de Google, les Nothing Ear (a) ou encore les OnePlus Nord Buds 3 Pro.
Si l’idée qu’un inconnu écoute votre micro dans le train est effrayante, la réalité technique est encore plus vicieuse. Le vrai risque, c’est le réseau Find My Device (Localiser mon appareil).
Un attaquant peut forcer l’appairage de vos écouteurs avec son compte Google. Aux yeux du système, vos écouteurs lui appartiennent désormais. Résultat ? Il peut suivre vos déplacements en temps réel sur une carte, en profitant de la précision du réseau de localisation de Google. C’est un outil de harcèlement redoutable.
Comment réagir ?
Google affirme avoir déployé des correctifs pour empêcher ce tracking et alerter les utilisateurs. Mais les chercheurs ont déjà trouvé une parade pour contourner ces alertes.
Google a beau avoir réagi (l’alerte a été donnée en août 2025), la sécurité de vos appareils ne dépend pas d’une mise à jour Android automatique. Elle dépend du firmware de vos écouteurs. Vous allez donc devoir ouvrir les apps, comme Sony Headphones Connect ou JBL Headphones, pour mettre à jour le logiciel de ces appareils.
Retrouvez tous les articles de Frandroid directement sur Google. Abonnez-vous à notre profil Google pour ne rien manquer !
Ce contenu est bloqué car vous n'avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Disqus.
Pour pouvoir le visualiser, vous devez accepter l'usage étant opéré par Disqus avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l'amélioration des produits d'Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l'audience de ce site (en savoir plus)
En cliquant sur « J’accepte tout », vous consentez aux finalités susmentionnées pour l’ensemble des cookies et autres traceurs déposés par Humanoid et .
Vous gardez la possibilité de retirer votre consentement à tout moment. Pour plus d’informations, nous vous invitons à prendre connaissance de notre Politique cookies.