Des chercheurs de l’Université KU Leuven ont découvert d’importantes failles de sécurité dans la technologie Fast Pair de Google, une fonctionnalité conçue pour simplifier les connexions des appareils Bluetooth. Les vulnérabilités, baptisées « WhisperPair », pourraient permettre aux attaquants de détourner des appareils audio – y compris des écouteurs et des écouteurs – jusqu’à une distance de 46 pieds.
La vulnérabilité expliquée
Fast Pair, introduit en 2017, vise à rationaliser le couplage Bluetooth sur Android et Chrome OS en un seul clic. Cependant, les chercheurs ont constaté que la mise en œuvre contient des faiblesses qui contournent les protocoles de sécurité standards. Cela signifie que les pirates peuvent exploiter le processus de connexion pour obtenir un accès non autorisé aux appareils.
La menace n’est pas théorique ; les chercheurs ont réussi à démontrer cet exploit sur des produits de grands fabricants comme Sony, Harman et même Google lui-même. Même si Google affirme avoir résolu les problèmes grâce à des mises à jour logicielles, les chercheurs soulignent que de nombreux appareils restent vulnérables.
Réponse de Google et risques restants
Google reconnaît les failles et a publié des mises à jour pour ses Pixel Buds Pro, ainsi qu’en informant les autres fabricants en septembre. Cependant, la société attribue une partie du problème à des implémentations tierces qui ne respectent pas pleinement les spécifications Fast Pair.
Les principales préoccupations s’articulent autour de deux risques clés :
- Détournement d’appareil : Les attaquants peuvent prendre le contrôle du flux audio, injectant potentiellement du contenu malveillant ou écoutant les conversations.
- Suivi de localisation : Les vulnérabilités pourraient également permettre aux pirates informatiques de suivre la localisation d’un utilisateur via ses appareils Bluetooth couplés. Google déclare avoir déployé un correctif pour éviter ce problème spécifique, mais son efficacité dépend de l’application des mises à jour par les utilisateurs.
Ce que les utilisateurs doivent faire
Les chercheurs ont reçu une prime de 15 000 $ pour leur découverte et ont accepté une fenêtre de divulgation de 150 jours pour laisser à Google le temps de déployer les correctifs. Malgré ces efforts, l’équipe prévient que de nombreux utilisateurs ignorent les mises à jour de sécurité critiques.
Pour se protéger, les utilisateurs d’appareils Bluetooth doivent immédiatement :
- Recherchez et installez les dernières mises à jour du micrologiciel du fabricant de leur appareil.
- Soyez prudent lorsque vous associez de nouveaux appareils dans des zones publiques ou très fréquentées.
- Restez informé des avis de sécurité de Google et d’autres sociétés technologiques.
“Nos résultats montrent comment un petit module complémentaire d’utilisabilité peut introduire des risques de sécurité et de confidentialité à grande échelle pour des centaines de millions d’utilisateurs.” – Groupe de recherche WhisperPair
Les vulnérabilités mettent en évidence les compromis entre commodité et sécurité dans la technologie moderne. Si Fast Pair simplifie l’expérience utilisateur, il introduit également de nouveaux vecteurs d’attaque qui nécessitent une vigilance constante de la part des fabricants et des consommateurs.
