Bluetooth

Vos écouteurs Bluetooth vous espionnent-ils ?

Analyse de l’attaque WhisperPair, qui consiste à suivre les victimes à la trace au moyen d’écouteurs Bluetooth ordinaires.

Stan Kaminsky
30 Jan 2026

Une vulnérabilité récemment découverte, baptisée WhisperPair, peut transformer les écouteurs et les casques Bluetooth de nombreuses marques connues en dispositifs de localisation personnelle, et ce, que les accessoires soient connectés à un iPhone, à un smartphone Android ou même à un ordinateur portable. Même si la technologie à l’origine de cette faille a été développée par Google pour les appareils Android, les risques de suivi sont en réalité beaucoup plus élevés pour ceux qui utilisent des écouteurs vulnérables avec d’autres systèmes d’exploitation, comme iOS, macOS, Windows ou Linux. Pour les propriétaires d’iPhone, cette situation est particulièrement préoccupante.

La connexion d’écouteurs Bluetooth à un smartphone Android est devenue nettement plus rapide lorsque Google a lancé Association express, une technologie désormais utilisée par des dizaines de fabricants d’accessoires. Pour coupler de nouveaux écouteurs, il suffit de les allumer et de les tenir à proximité du téléphone. Si votre appareil est relativement moderne (produit après 2019), une fenêtre contextuelle vous invite à vous connecter et à télécharger l’application correspondante, si elle existe. Une simple pression, et le tour est joué.

Malheureusement, il semble qu’un certain nombre de fabricants n’aient pas prêté attention aux détails de cette technologie lors de sa mise en œuvre, et leurs accessoires peuvent désormais être piratés par le smartphone d’un inconnu en quelques secondes, même si les écouteurs ne sont pas en mode d’appairage. Il s’agit là du cœur de la vulnérabilité WhisperPair, récemment découverte par des chercheurs de l’université UCLouvain et enregistrée sous le code CVE-2025-36911.

L’appareil attaquant, qui peut être un smartphone, une tablette ou un ordinateur portable standard, diffuse des demandes Association express de Google à tous les appareils Bluetooth situés dans un rayon de 14 mètres. Il se trouve qu’une longue liste d’écouteurs de Sony, JBL, Redmi, Anker, Marshall, Jabra, OnePlus et même Google (les Pixel Buds 2) réagissent à ces pings même s’ils ne cherchent pas à se connecter à un appareil. En moyenne, l’attaque ne dure que 10 secondes.

Une fois que les écouteurs sont connectés, l’attaquant peut faire à peu près la même chose que le propriétaire : écouter le son du microphone, diffuser de la musique ou, dans certains cas, localiser les écouteurs sur une carte s’ils sont compatibles avec le réseau Localiser de Google. Cette dernière fonctionnalité, conçue uniquement pour retrouver des écouteurs perdus, se prête parfaitement à un suivi à distance discret. Et voici le clou du spectacle : les utilisateurs d’Apple et de tout autre matériel non-Android sont les plus exposés à ce danger.

Suivi à distance et risques pour les iPhone

Lorsque des écouteurs ou un casque interagissent pour la première fois avec un appareil Android via le protocole Association express, une clé propriétaire liée au compte Google de ce smartphone est conservée dans la mémoire de l’accessoire. Ces informations permettent de localiser par la suite les écouteurs en exploitant les données collectées sur des millions d’appareils Android. Si un smartphone quelconque détecte l’appareil en question grâce à la technologie Bluetooth, il signale sa position aux serveurs de Google. Cette fonctionnalité de Google, Localiser, est en quelque sorte la version Android de l’application Localiser d’Apple, et elle présente les mêmes risques de suivi non autorisé qu’un AirTag malveillant.

Lorsqu’un cybercriminel pirate la fonction d’appairage, sa clé peut être enregistrée en tant que clé appartenant au propriétaire des écouteurs, mais uniquement si l’écouteur ciblé par WhisperPair n’a pas été précédemment associé à un appareil Android et n’a été utilisé qu’avec un iPhone, ou un autre matériel tel qu’un ordinateur portable doté d’un système d’exploitation différent. Une fois que les écouteurs sont connectés, le pirate peut les localiser sur une carte à tout moment, et surtout n’importe où (et pas seulement dans un rayon de 14 mètres).

Les utilisateurs d’Android qui ont déjà utilisé la technologie Association express pour associer leurs écouteurs vulnérables sont à l’abri de cette opération, puisqu’ils sont déjà connectés en tant que propriétaires officiels. Pour tous les autres, il est préférable de vérifier la documentation du fabricant pour vérifier que la situation n’est pas sans risques. Heureusement, ce ne sont pas tous les appareils vulnérables à l’exploit qui prennent en charge la technologie Localiser de Google.

Comment neutraliser la menace WhisperPair ?

La seule véritable façon de corriger ce bug est de mettre à jour le micrologiciel de vos écouteurs, à condition qu’une mise à jour soit disponible. Vous pouvez généralement vérifier la présence de mises à jour et les installer via l’application compagnon officielle des écouteurs. Les chercheurs ont dressé une liste des appareils vulnérables sur leur site, mais il est presque certain qu’elle n’est pas exhaustive.

Après la mise à jour du micrologiciel, il est indispensable de procéder à une réinitialisation des paramètres par défaut pour effacer la liste des appareils connectés, ce qui inclut tout invité indésirable.

Si aucune mise à jour du micrologiciel n’est disponible et que vous utilisez vos écouteurs avec iOS, macOS, Windows ou Linux, la seule option qui vous reste est de trouver un smartphone Android (ou de trouver un ami de confiance qui en possède un) et de l’utiliser pour réserver le rôle du propriétaire principal. Vous éviterez ainsi que quelqu’un d’autre n’ajoute vos écouteurs à l’application Localiser de Google à votre insu.

La mise à jour de Google

En janvier 2026, Google a publié une mise à jour d’Android pour corriger la vulnérabilité côté système d’exploitation. Malheureusement, les détails n’ont pas été rendus publics, si bien que nous ne savons pas exactement quelles modifications ont été apportées. Il est fort probable que les smartphones mis à jour ne signalent plus au réseau Localiser de Google l’emplacement des accessoires détournés via WhisperPair. Cependant, étant donné que la rapidité d’installation des mises à jour Android n’est pas donnée à tout le monde, il y a fort à parier que ce type de traçage d’écouteurs Bluetooth restera possible pendant encore au moins quelques années.

Vous souhaitez découvrir comment vos gadgets peuvent vous espionner ? Lisez les articles suivants :

Comment se protéger du harcèlement par Bluetooth et plus encore

Comment suivre quelqu’un via le réseau Localiser

Comment ne plus être tracé par des balises Bluetooth comme l’AirTag ?

Comment les smartphones montent un dossier sur vous

Pourquoi les courtiers en données établissent-ils des dossiers sur vous, et comment les en empêcher ?

L’IA et la nouvelle réalité de la sextorsion

L’IA générative a fait passer les techniques de sextorsion à un tout autre niveau : désormais, n’importe quel utilisateur des réseaux sociaux peut en être victime. Comment pouvez-vous vous protéger, vous et vos proches ?

Protection des enfants

Vos écouteurs Bluetooth vous espionnent-ils ?

Suivi à distance et risques pour les iPhone

Comment neutraliser la menace WhisperPair ?

La mise à jour de Google

Qu’advient-il des données volées lors d’une attaque de phishing ?

Le voleur d’informations a rejoint la partie

L’IA et la nouvelle réalité de la sextorsion

Conseils

L’IA et la nouvelle réalité de la sextorsion

Infrastructure informatique oubliée : pire encore que le Shadow IT

Sécurité informatique : les bons réflexes à adopter en 2026

Le voleur d’informations a rejoint la partie

Solutions pour les particuliers

TPE

PME

Grande entreprise

Securelist

Eugene Personal Blog

Encyclopédie de Kaspersky