{"id":23531,"date":"2026-01-30T16:47:06","date_gmt":"2026-01-30T14:47:06","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=23531"},"modified":"2026-01-30T16:47:06","modified_gmt":"2026-01-30T14:47:06","slug":"whisperpair-blueooth-headset-location-tracking","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/whisperpair-blueooth-headset-location-tracking\/23531\/","title":{"rendered":"Vos \u00e9couteurs Bluetooth vous espionnent-ils ?"},"content":{"rendered":"

Une vuln\u00e9rabilit\u00e9 r\u00e9cemment d\u00e9couverte, baptis\u00e9e WhisperPair, peut transformer les \u00e9couteurs et les casques Bluetooth de nombreuses marques connues en dispositifs de localisation personnelle, et ce, que les accessoires soient connect\u00e9s \u00e0 un iPhone, \u00e0 un smartphone Android ou m\u00eame \u00e0 un ordinateur portable. M\u00eame si la technologie \u00e0 l\u2019origine de cette faille a \u00e9t\u00e9 d\u00e9velopp\u00e9e par Google pour les appareils Android, les risques de suivi sont en r\u00e9alit\u00e9 beaucoup plus \u00e9lev\u00e9s pour ceux qui utilisent des \u00e9couteurs vuln\u00e9rables avec d\u2019autres syst\u00e8mes d\u2019exploitation, comme iOS, macOS, Windows ou Linux. Pour les propri\u00e9taires d\u2019iPhone, cette situation est particuli\u00e8rement pr\u00e9occupante.<\/p>\n

La connexion d\u2019\u00e9couteurs Bluetooth \u00e0 un smartphone Android est devenue nettement plus rapide lorsque Google a lanc\u00e9 Association express, une technologie d\u00e9sormais utilis\u00e9e par des dizaines de fabricants d\u2019accessoires. Pour coupler de nouveaux \u00e9couteurs, il suffit de les allumer et de les tenir \u00e0 proximit\u00e9 du t\u00e9l\u00e9phone. Si votre appareil est relativement moderne (produit apr\u00e8s 2019), une fen\u00eatre contextuelle vous invite \u00e0 vous connecter et \u00e0 t\u00e9l\u00e9charger l\u2019application correspondante, si elle existe. Une simple pression, et le tour est jou\u00e9.<\/p>\n

Malheureusement, il semble qu\u2019un certain nombre de fabricants n\u2019aient pas pr\u00eat\u00e9 attention aux d\u00e9tails de cette technologie lors de sa mise en \u0153uvre, et leurs accessoires peuvent d\u00e9sormais \u00eatre pirat\u00e9s par le smartphone d\u2019un inconnu en quelques secondes, m\u00eame si les \u00e9couteurs ne sont pas en mode d\u2019appairage. Il s\u2019agit l\u00e0 du c\u0153ur de la vuln\u00e9rabilit\u00e9 WhisperPair, r\u00e9cemment d\u00e9couverte par des chercheurs de l\u2019universit\u00e9 UCLouvain et enregistr\u00e9e sous le code CVE-2025-36911<\/a>.<\/p>\n

L\u2019appareil attaquant, qui peut \u00eatre un smartphone, une tablette ou un ordinateur portable standard, diffuse des demandes Association express de Google \u00e0 tous les appareils Bluetooth situ\u00e9s dans un rayon de 14\u00a0m\u00e8tres. Il se trouve qu\u2019une longue liste d\u2019\u00e9couteurs de Sony, JBL, Redmi, Anker, Marshall, Jabra, OnePlus et m\u00eame Google (les Pixel Buds\u00a02) r\u00e9agissent \u00e0 ces pings m\u00eame s\u2019ils ne cherchent pas \u00e0 se connecter \u00e0 un appareil. En moyenne, l\u2019attaque ne dure que 10\u00a0secondes.<\/p>\n

Une fois que les \u00e9couteurs sont connect\u00e9s, l\u2019attaquant peut faire \u00e0 peu pr\u00e8s la m\u00eame chose que le propri\u00e9taire\u00a0: \u00e9couter le son du microphone, diffuser de la musique ou, dans certains cas, localiser les \u00e9couteurs sur une carte s\u2019ils sont compatibles avec le r\u00e9seau Localiser de Google. Cette derni\u00e8re fonctionnalit\u00e9, con\u00e7ue uniquement pour retrouver des \u00e9couteurs perdus, se pr\u00eate parfaitement \u00e0 un suivi \u00e0 distance discret. Et voici le clou du spectacle\u00a0: les utilisateurs d\u2019Apple et de tout autre mat\u00e9riel non-Android sont les plus expos\u00e9s \u00e0 ce danger.<\/p>\n

Suivi \u00e0 distance et risques pour les iPhone<\/h2>\n

Lorsque des \u00e9couteurs ou un casque interagissent pour la premi\u00e8re fois avec un appareil Android via le protocole Association express, une cl\u00e9 propri\u00e9taire li\u00e9e au compte Google de ce smartphone est conserv\u00e9e dans la m\u00e9moire de l\u2019accessoire. Ces informations permettent de localiser par la suite les \u00e9couteurs en exploitant les donn\u00e9es collect\u00e9es sur des millions d\u2019appareils Android. Si un smartphone quelconque d\u00e9tecte l\u2019appareil en question gr\u00e2ce \u00e0 la technologie Bluetooth, il signale sa position aux serveurs de Google. Cette fonctionnalit\u00e9 de Google, Localiser, est en quelque sorte la version Android de l\u2019application Localiser d\u2019Apple, et elle pr\u00e9sente les m\u00eames risques de suivi non autoris\u00e9 qu\u2019un AirTag malveillant<\/a>.<\/p>\n

Lorsqu\u2019un cybercriminel pirate la fonction d\u2019appairage, sa cl\u00e9 peut \u00eatre enregistr\u00e9e en tant que cl\u00e9 appartenant au propri\u00e9taire des \u00e9couteurs, mais uniquement si l\u2019\u00e9couteur cibl\u00e9 par WhisperPair n\u2019a pas \u00e9t\u00e9 pr\u00e9c\u00e9demment associ\u00e9 \u00e0 un appareil Android et n\u2019a \u00e9t\u00e9 utilis\u00e9 qu\u2019avec un iPhone, ou un autre mat\u00e9riel tel qu\u2019un ordinateur portable dot\u00e9 d\u2019un syst\u00e8me d\u2019exploitation diff\u00e9rent. Une fois que les \u00e9couteurs sont connect\u00e9s, le pirate peut les localiser sur une carte \u00e0 tout moment, et surtout n\u2019importe o\u00f9 (et pas seulement dans un rayon de 14\u00a0m\u00e8tres).<\/p>\n

Les utilisateurs d\u2019Android qui ont d\u00e9j\u00e0 utilis\u00e9 la technologie Association express pour associer leurs \u00e9couteurs vuln\u00e9rables sont \u00e0 l\u2019abri de cette op\u00e9ration, puisqu\u2019ils sont d\u00e9j\u00e0 connect\u00e9s en tant que propri\u00e9taires officiels. Pour tous les autres, il est pr\u00e9f\u00e9rable de v\u00e9rifier la documentation du fabricant pour v\u00e9rifier que la situation n\u2019est pas sans risques. Heureusement, ce ne sont pas tous les appareils vuln\u00e9rables \u00e0 l\u2019exploit qui prennent en charge la technologie Localiser de Google.<\/p>\n

Comment neutraliser la menace WhisperPair\u00a0?<\/h2>\n

La seule v\u00e9ritable fa\u00e7on de corriger ce bug est de mettre \u00e0 jour le micrologiciel de vos \u00e9couteurs, \u00e0 condition qu\u2019une mise \u00e0 jour soit disponible. Vous pouvez g\u00e9n\u00e9ralement v\u00e9rifier la pr\u00e9sence de mises \u00e0 jour et les installer via l\u2019application compagnon officielle des \u00e9couteurs. Les chercheurs ont dress\u00e9 une liste des appareils vuln\u00e9rables sur leur site<\/a>, mais il est presque certain qu\u2019elle n\u2019est pas exhaustive.<\/p>\n

Apr\u00e8s la mise \u00e0 jour du micrologiciel, il est indispensable de proc\u00e9der \u00e0 une r\u00e9initialisation des param\u00e8tres par d\u00e9faut pour effacer la liste des appareils connect\u00e9s, ce qui inclut tout invit\u00e9 ind\u00e9sirable.<\/p>\n

Si aucune mise \u00e0 jour du micrologiciel n\u2019est disponible et que vous utilisez vos \u00e9couteurs avec iOS, macOS, Windows ou Linux, la seule option qui vous reste est de trouver un smartphone Android (ou de trouver un ami de confiance qui en poss\u00e8de un) et de l\u2019utiliser pour r\u00e9server le r\u00f4le du propri\u00e9taire principal. Vous \u00e9viterez ainsi que quelqu\u2019un d\u2019autre n\u2019ajoute vos \u00e9couteurs \u00e0 l\u2019application Localiser de Google \u00e0 votre insu.<\/p>\n

La mise \u00e0 jour de Google<\/h2>\n

En janvier\u00a02026, Google a publi\u00e9 une mise \u00e0 jour d\u2019Android pour corriger la vuln\u00e9rabilit\u00e9 c\u00f4t\u00e9 syst\u00e8me d\u2019exploitation. Malheureusement, les d\u00e9tails n\u2019ont pas \u00e9t\u00e9 rendus publics, si bien que nous ne savons pas exactement quelles modifications ont \u00e9t\u00e9 apport\u00e9es. Il est fort probable que les smartphones mis \u00e0 jour ne signalent plus au r\u00e9seau Localiser de Google l\u2019emplacement des accessoires d\u00e9tourn\u00e9s via WhisperPair. Cependant, \u00e9tant donn\u00e9 que la rapidit\u00e9 d\u2019installation des mises \u00e0 jour Android n\u2019est pas donn\u00e9e \u00e0 tout le monde, il y a fort \u00e0 parier que ce type de tra\u00e7age d\u2019\u00e9couteurs Bluetooth restera possible pendant encore au moins quelques ann\u00e9es.<\/p>\n

Vous souhaitez d\u00e9couvrir comment vos gadgets peuvent vous espionner\u00a0? Lisez les articles suivants\u00a0:<\/p>\n