🔎 Cyberveille

Analyse de l’attaque WhisperPair, qui consiste à suivre les victimes à la trace au moyen d’écouteurs Bluetooth ordinaires.

Une vulnérabilité récemment découverte, baptisée WhisperPair, peut transformer les écouteurs et les casques Bluetooth de nombreuses marques connues en dispositifs de localisation personnelle, et ce, que les accessoires soient connectés à un iPhone, à un smartphone Android ou même à un ordinateur portable. Même si la technologie à l’origine de cette faille a été développée par Google pour les appareils Android, les risques de suivi sont en réalité beaucoup plus élevés pour ceux qui utilisent des écouteurs vulnérables avec d’autres systèmes d’exploitation, comme iOS, macOS, Windows ou Linux. Pour les propriétaires d’iPhone, cette situation est particulièrement préoccupante.

La connexion d’écouteurs Bluetooth à un smartphone Android est devenue nettement plus rapide lorsque Google a lancé Association express, une technologie désormais utilisée par des dizaines de fabricants d’accessoires. Pour coupler de nouveaux écouteurs, il suffit de les allumer et de les tenir à proximité du téléphone. Si votre appareil est relativement moderne (produit après 2019), une fenêtre contextuelle vous invite à vous connecter et à télécharger l’application correspondante, si elle existe. Une simple pression, et le tour est joué.

Malheureusement, il semble qu’un certain nombre de fabricants n’aient pas prêté attention aux détails de cette technologie lors de sa mise en œuvre, et leurs accessoires peuvent désormais être piratés par le smartphone d’un inconnu en quelques secondes, même si les écouteurs ne sont pas en mode d’appairage. Il s’agit là du cœur de la vulnérabilité WhisperPair, récemment découverte par des chercheurs de l’université UCLouvain et enregistrée sous le code CVE-2025-36911.