Ouvrir le menu principal

WatchGeneration

Recherche

Une faille Bluetooth permet d'écouter à travers un casque attaqué et d'extraire des données personnelles

Pierre Dandumont

mardi 01 juillet 2025 à 17:00 • 9

Audio

De nombreux fabricants de casques Bluetooth ne développent pas leurs propres composants et se basent sur du matériel — et parfois du logiciel — fourni par une société tierce. Des failles dans ceux qui utilisent l'implémentation d'Airoha ont été montrées récemment par les chercheurs d'ERNW, et elle implique de gros risques : il est possible d'activer le microphone à distance ou de récupérer des informations personnelles, comme le contenu du carnet d'adresses d'un smartphone.

Certaines enceintes portables sont touchées. Image Marshall.

Elles se basent sur l'absence d'authentification dans un protocole de la marque, pour les marques qui emploient le SDK (le kit de développement) d'Airoha. De nombreux appareils sont vulnérables, et il n'y a qu'une condition selon les chercheurs : être à portée d'un périphérique Bluetooth (casque ou enceinte portable). Les modèles touchés, selon eux, proviennent de nombreux fabricants : Sony (CH-720N, Link Buds S, ULT Wear, WF-1000XM3, XM4, XM5, WF-C500, C510, WH-1000XM4, XM5, XM6, WH-C520, WH-XB910N, WI-C100), Beyerdynamic (Amiron 300), Bose (QuietComfort Earbuds), Jabra (Elite 8 Active), JBL (Endurance Race 2, Live Buds 3) ou Marshall (Acton III, Major V, Minor IV, Motif II, Stanmore III, Woburn III). D'autres marques moins populaires sont aussi de la partie, et probablement de nombreux autres modèles qui emploient les composants d'Airoha.

Des risques importants

La faille permet notamment de lire le contenu de la mémoire du contrôleur, qui peut contenir des informations sur ce que vous écoutez. Les chercheurs évoquent aussi la possibilité d'activer le microphone ou même d'effectuer des appels depuis un casque attaqué, s'il est relié à un smartphone. L'activation elle-même n'est heureusement pas discrète : si de la musique est en cours de lecture, l'activation du microphone devrait la couper. Mais si le casque est inactif et allumé (par exemple posé sur une table), le microphone peut être activé.

Des écouteurs Jabra touchés. Image Jabra.

Une autre attaque possible est la possibilité de récupérer des informations, comme le numéro de téléphone du smartphone ou le contenu du carnet d'adresses. Les casques demandent rarement l'accès à ces informations (c'est plutôt réservé aux autoradios) et les systèmes d'exploitation devraient vous demander l'autorisation de le faire, mais si vous ne faites pas attention ou si l'autorisation a déjà été donnée, les informations peuvent être exfiltrées. De plus, les chercheurs expliquent qu'il est possible de modifier le contenu du logiciel du casque pour que le malware se réplique.

Actuellement, la faille a été corrigée dans le SDK d'Airoha début juin, mais les constructeurs doivent mettre à jour le firmware de leurs appareils, et le distribuer massivement. Les chercheurs recommandent aux personnes qui peuvent être ciblées par une attaque de ce type (journalistes, hommes politiques, etc.) d'éviter d'utiliser un casque Bluetooth en public.

Source :

Image d'ouverture : Sony.

Rejoignez le Club iGen

Soutenez le travail d'une rédaction indépendante.

Rejoignez la plus grande communauté Apple francophone !

S'abonner

Une faille Bluetooth permet d'écouter à travers un casque attaqué et d'extraire des données personnelles

17:00

• 9


Vision Pro : un ancien ingénieur d’Apple accusé d’avoir volé des secrets industriels pour Snap

16:34

• 5


Google Keep disparait de l'Apple Watch après 6 ans de service

15:50

• 6


AirPods liés à iOS 26 : un nouveau clignotement en début de charge

12:14

• 4


Coros doit boucher de sérieuses failles de sécurité sur toutes ses montres connectées

10:18

• 8


Et si Apple sortait un anneau connecté, pour relancer ses wearables ? La semaine Apple

08:36

• 24


Google Agenda dispose enfin d’une app Apple Watch

30/06/2025 à 18:30

• 4


Vision Pro, Vision Air et lunettes connectées : Ming-Chi Kuo dévoile le programme d’Apple jusqu’en 2029

30/06/2025 à 08:47

• 13


Soldes : l'AirPods Max USB-C passe à 489 € (-90 €)

27/06/2025 à 17:24

• 11


Bouygues vend une montre pour enfants avec un forfait très encadré

26/06/2025 à 17:03

• 25


Quand Steve Jobs rêvait de ChatGPT

26/06/2025 à 16:40

• 53


Apple permet de forcer une version bêta du firmware des AirPods avec macOS Tahoe et iOS 26

26/06/2025 à 11:00

• 7


Soldes : le Sony WH1000XM4 à 207 €, le WH1000XM5 à 290 € et le Bose QC Ultra à 350 € 🆕

26/06/2025 à 06:58

• 4


watchOS 26 bêta 2 brique les Apple Watch Hermès

25/06/2025 à 22:15

• 30


Écran pliant, nouveau design : ce que Liquid Glass et iPadOS 26 préfigurent pour les futurs iPhone

25/06/2025 à 20:36

• 16


Soldes : les récents AirPods 4 à 124 € (- 25 €)

25/06/2025 à 18:05

• 0