\nhack\u00e9 des Tesla<\/a>
\nil y a quelques ann\u00e9es) viennent de d\u00e9voiler WhisperPair<\/strong>. C’est le petit nom d’une s\u00e9rie de vuln\u00e9rabilit\u00e9s qui touchent le protocole Google Fast Pair<\/strong>, et vous allez voir, \u00e7a craint.<\/p>\n
Le protocole Fast Pair, cens\u00e9 nous faciliter la vie en appairant nos gadgets en un clic, oublie en fait de v\u00e9rifier si l’appareil est r\u00e9ellement en mode appairage. Du coup, n’importe quel petit malin situ\u00e9 \u00e0 port\u00e9e de Bluetooth (environ 15 m\u00e8tres dans les tests) peut se connecter silencieusement \u00e0 votre casque ou vos enceintes, m\u00eame si vous \u00eates d\u00e9j\u00e0 en train d’\u00e9couter votre podcast pr\u00e9f\u00e9r\u00e9. Pas besoin de bouton, pas besoin de confirmation, rien. C’est un peu le retour de la faille Et quand je dis industriel, je n’exag\u00e8re pas car les chercheurs ont test\u00e9 25 mod\u00e8les diff\u00e9rents et 17 d’entre eux sont tomb\u00e9s comme des mouches. Des marques comme Sony, Jabra, JBL, Marshall, Xiaomi, OnePlus, Logitech et m\u00eame les Pixel Buds de Google sont touch\u00e9es. Et une fois connect\u00e9, le pirate peut faire pas mal de trucs sympas (ou pas) comme injecter son propre audio \u00e0 fond dans vos oreilles, perturber vos appels, ou pire, activer le micro pour \u00e9couter ce qui se passe autour de vous.<\/p>\n Mais attendez \u00e7a va encore plus loin car pour certains mod\u00e8les Sony et Google, un attaquant peut carr\u00e9ment enregistrer votre casque sur son propre compte Google. Et l\u00e0, c’est le combo gagnant pour le stalker puisqu’il peut vous suivre \u00e0 la trace via le r\u00e9seau Find Hub<\/strong> (le “Localiser” de Google). Le plus dingue, c’est que \u00e7a fonctionne m\u00eame si vous utilisez un iPhone et que vous n’avez jamais touch\u00e9 \u00e0 un produit Android de votre vie.<\/p>\n Si vous recevez une alerte de tracking sur votre smartphone, vous penserez probablement \u00e0 un bug de votre propre appareil alors que c’est un espion qui regarde vos d\u00e9placements en temps r\u00e9el… C’est moche.<\/p>\n Bref, Google a bien essay\u00e9 de patcher le truc, notamment pour Find Hub, mais les chercheurs ont d\u00e9j\u00e0 trouv\u00e9 un moyen de contourner le correctif en quelques heures. C’est la course \u00e0 l’\u00e9chalote habituelle et le vrai souci, c’est que pour corriger \u00e7a proprement, il faut une mise \u00e0 jour du firmware de chaque accessoire par son constructeur. Et on sait tous comment \u00e7a se passe… \u00e0 moins d’avoir l’application d\u00e9di\u00e9e de la marque (que personne n’installe jamais) et de penser \u00e0 v\u00e9rifier les updates, vos \u00e9couteurs resteront vuln\u00e9rables pendant des ann\u00e9es.<\/p>\n Du coup, que faire ?<\/p>\n H\u00e9 bien d\u00e9j\u00e0, si vous bossez sur des trucs ultra-sensibles, m\u00e9fiez-vous du Bluetooth dans les lieux publics. C’est moche \u00e0 dire en 2026, mais la s\u00e9curit\u00e9 des objets connect\u00e9s reste encore trop souvent le parent pauvre de l’ergonomie.<\/p>\n Et si vous voulez creuser les d\u00e9tails techniques, les chercheurs ont tout mis sur
\nBlueSpy dont je vous parlais l’ann\u00e9e derni\u00e8re<\/a>
\n, mais en mode industriel.<\/p>\n![\"\"](\"https:\/\/korben.info\/cdn-cgi\/image\/width=1200,fit=scale-down,quality=90,f=avif\/whisperpair-vos-ecouteurs-bluetooth-sont-des-traitres\/whisperpair-vos-ecouteurs-bluetooth-sont-des-traitres-2.png\")
<\/p>\n
\nleur site d\u00e9di\u00e9<\/a>
\n.<\/p>\n