Des chercheurs de l’université belge de KU Leuven ont découvert de sérieuses vulnérabilités dans le « Fast Pair » (Association express) de Google, qui permet de connecter rapidement des appareils audio à un téléphone Android. Baptisée WhisperPair, la faille peut être utilisée pour diffuser une musique à n’importe quel volume, suivre les appareils à distance et même écouter les conversations. Elle touche des produits de marques connues comme Sony, Anker ou Nothing. Bien qu’elle concerne un processus lié à Android, les propriétaires d’iPhone ne sont pas épargnés par cette vulnérabilité.
Selon les chercheurs interrogés par Wired, de nombreux fabricants implémenteraient Fast Pair de façon incomplète. En théorie, la spécification prévoit qu’un accessoire ne doit pas pouvoir s’appairer avec un nouvel appareil s’il est déjà appairé. En pratique, sur certains modèles, un attaquant à portée Bluetooth peut malgré tout déclencher un appairage silencieux.
L’attaque a été testée sur 25 produits, et 17 d’entre eux pouvaient être piratés. Les chercheurs ont réussi à lancer une piste audio, à monter le son et même à écouter une conversation grâce au micro intégré.
Si Fast Pair est une fonctionnalité spécifique à l’écosystème Android, les propriétaires d'iPhone ayant un appareil Bluetooth concerné ne sont pas épargnés : les pirates peuvent même aller plus loin. Sur certains accessoires Sony et sur les Pixel Buds Pro 2, il est possible de lier le produit à un compte Google pour peu qu’il n’ait jamais été utilisé sur un smartphone Android et relié à un compte.
Autrement dit, un pirate peut « s’approprier » l’accessoire de sa victime et suivre son emplacement à distance. L’utilisateur recevrait bien une notification lui indiquant qu’un objet inconnu le suit, mais il pourrait logiquement imaginer qu’il s’agit d’une erreur étant donné que le téléphone détecte « son » casque.
La liste des appareils touchés est disponible à ce lien. Les casques comme les Sony WH-1000XM6, XM5, et XM4 sont concernés, tout comme les écouteurs Anker Soundcore Liberty 4 NC, les Nord Buds 3 Pro de OnePlus ou même les Pixel Buds Pro 2 de… Google. Notons également la présence dans la liste des Nothing Ear (a). Apple fait figure de bon élève étant donné que les Beats Solo Buds ne sont pas vulnérables, tout comme le Bose QC Ultra ou le Sonos Ace.
Si vous avez un appareil concerné, Google indique avoir recommandé des correctifs à ses partenaires en septembre 2025 et avoir renforcé son processus de certification pour limiter le risque à l’avenir. L’entreprise affirme ne pas avoir constaté d’exploitation de la faille en dehors du cadre des tests des chercheurs. Selon Wired, tout n’est pas encore parfaitement verrouillé et certaines mesures complémentaires ont pu être contournées, mais Google dit travailler sur ces points. Le correctif est là, mais encore faut-il penser à garder son casque ou ses écouteurs à jour, ce qui passe généralement par une app tierce que tous les clients ne téléchargent pas.
