Faille Google : vos écouteurs Bluetooth peuvent vous espionner !

Comment vos écouteurs Bluetooth peuvent-ils vous espionner ?

Imaginez-vous dans un café, vos écouteurs sans fil vissés dans les oreilles, en pleine conversation téléphonique. Vous pensez être seul à entendre votre interlocuteur. Pourtant, à quelques mètres de vous, quelqu’un pourrait déjà être en train d’écouter votre conversation. Ce scénario, digne d’un thriller, est pourtant bien réel. 

Une faille majeure dans la technologie d’appairage Bluetooth vient d’être dévoilée par l’équipe du laboratoire COSIC de l’université KU Leuven (Belgique), sous la direction du cryptologue Bart Preneel. 

Une grave faille de sécurité

Cette vulnérabilité, qualifiée de « grave », touche un système d’appairage rapide très populaire : Google Fast Pair. 

Aussitôt informé, Google a reconnu la faille et annoncé la préparation d’un correctif, prévu avant la fin janvier 2026. Quels appareils sont concernés ? Comment l’attaque fonctionne-t-elle et comment vous protéger ? On fait le point.

Les dangers des objets connectés

Qu’est-ce que Google Fast Pair et comment fonctionne ce système ?

Google Fast Pair Service (GFPS) est un système d’appairage rapide qui permet de connecter, en un clic, des écouteurs, casques ou enceintes Bluetooth à votre smartphone Android. 

Présent sur des centaines de millions d’appareils Bluetooth de grandes marques comme Sony ou JBL, Fast Pair est censé faciliter la connexion de vos accessoires sans fil. 

Comment fonctionne Google Fast Pair ?

Dès que vous activez un outil compatible Bluetooth à proximité de votre téléphone, une fenêtre pop-up s’affiche pour vous proposer la connexion : fini les longues recherches dans les menus.

À l’issue de la connexion, l’accessoire est associé à votre compte Google : vous pouvez ensuite le synchroniser et l’utiliser très facilement sur tous vos appareils Android ou Chromebook.

Où se situe la faille de sécurité liée à l’appairage Bluetooth ?

Le souci ? Beaucoup de fabricants n’ont pas bien implémenté Fast Pair. Selon les chercheurs de la KU Leuven, 68 % des 25 modèles testés (de 16 grandes marques) se sont révélés vulnérables à leur attaque, baptisée « WhisperPair » :

• Le pirate n’a pas besoin d’être proche physiquement : une portée jusqu’à 14 mètres a été testée.
• Il suffit que l’accessoire Bluetooth ne soit pas explicitement en mode appairage (mode qui demande normalement d’appuyer sur un bouton), pour que le pirate puisse malgré tout le connecter de force à son appareil.
• Rapidement, il prend alors le contrôle de vos écouteurs ou de votre casque : il peut enregistrer le son de votre micro, passer du son dans vos oreilles, et, dans certains cas, suivre votre position grâce au réseau Find Hub de Google.

La faille ne demande pas d’équipement particulier : n’importe quel smartphone, tablette, ordinateur portable ou même un Raspberry Pi avec Bluetooth suffisent.

À gauche, le tableau de bord de l'attaquant avec localisation provenant du réseau Find Hub. À droite, la notification de suivi indésirable indiquant l'appareil de la victime. Source : https://whisperpair.eu/

Quelles sont les faiblesses du système d’appairage Fast Pair ?

Le problème de Fast Pair est double :

• Facilité avant sécurité : pour rendre l’appairage plus simple, Fast Pair s’appuie sur une simple confirmation logicielle, et non une action physique (comme appuyer longtemps sur un bouton).
• Pas de garde-fous robustes : alors que le Bluetooth traditionnel oblige une manipulation volontaire de l’utilisateur, Fast Pair vous connecte… parfois même à votre insu, et aujourd’hui, sans mécanisme de cryptographie solide. Les chercheurs belges soulignent que « la sécurité ne devient robuste que si elle s’appuie sur des mécanismes cryptographiques prouvables ».

Existe-t-il des systèmes plus sécurisés que Google Fast Pair ?

Oui. Dans le Bluetooth « classique », l’appairage exige, dans la très grande majorité des cas, d’activer à la main le mode "pairing" sur l’accessoire (souvent un appui long sur un bouton dédié). Cette étape est la preuve claire de l’intention du propriétaire et empêche toute connexion forcée.

De plus, des systèmes avancés utilisent des clés cryptographiques pour chiffrer les échanges, valider l’identité des appareils et donc sécuriser la connexion. 

« Nous avons d’ailleurs proposé à Google d’intégrer ce genre de mécanismes cryptographiques pour empêcher les détournements de la procédure d’appairage », explique Bart Preneel, qui a mené cette étude.

Quelles sont les appareils concernés ?

La faille WhisperPair est susceptible de toucher tous les accessoires Bluetooth compatibles Google Fast Pair qui, dans la majorité des cas, sont vulnérables à cause d’une erreur de conception ou d’implémentation chez le fabricant. 

Vous pouvez consulter la liste partielle des appareils testés et touchés sur le site des chercheurs. On y trouve des marques comme Sony, Google, Xiaomi, Jabra ou JBL.

Bluetooth, un risque généralisé ?

Nous évoquons ici l’exemple d’écouteurs et de casques, mais d’autres appareils sont potentiellement à risque, comme des enceintes portables, des montres et d’autres accessoires Bluetooth Fast Pair. 

Les conséquences : un individu malveillant peut, par exemple, coupler une enceinte Bluetooth à distance (tout en restant toujours assez proche – ici le test a été mené jusqu'à une distance de 14 m), la faire fonctionner à sa guise, ou encore utiliser les fonctions « Find » de Google pour pister l’appareil (et donc la personne !) à son insu.

Cette faille concerne-t-elle uniquement Android ?

Pour se protéger de cette faille : quels gestes adopter ?

Peut-on désactiver Fast Pair ?

Pas vraiment. Si, sur certains smartphones Android, il est possible de désactiver les pop-ups et le scan Fast Pair, cela ne protège pas contre la faille, car le problème réside dans l’accessoire Bluetooth lui-même (écouteurs, casque, enceinte…) et non dans le téléphone.

Existe-t-il des « bonnes pratiques » d’appairage ? À quoi faire attention ?

• Vérifiez toujours la source d’une notification Bluetooth avant de valider un appairage.
• N’acceptez aucun appairage inconnu, surtout dans les lieux publics.
• Désactivez Bluetooth quand vous ne l’utilisez pas.
• Surveillez attentivement toute alerte de “tracking” inattendue (certaines arrivent jusqu’à 48h après), même si elle semble provenir de votre propre appareil.

Comment savoir si l’appairage est sécurisé ? 

• Vérification physique obligatoire : Un appairage plus sécurisé repose sur l’obligation d’actionner un bouton physique (souvent nommé « mode d’appairage ») sur l’accessoire Bluetooth. Cette étape prouve que l’utilisateur souhaite réellement la connexion.
• Preuve cryptographique : Selon les chercheurs du laboratoire COSIC, un mécanisme cryptographique solide doit garantir, de manière mathématique, que l’appairage résulte bien d’une action volontaire de l’utilisateur - par exemple, en intégrant la détection de l’appui sur le bouton dans la génération de la clé d’appairage. Ainsi, si un appairage est tenté sans appuyer sur le bouton, une clé cryptographique incorrecte est utilisée et l’appairage échoue. L’utilisateur ne remarque rien de ce processus.
• Évitez les connexions automatiques sans manipulation : Toute procédure d’appairage ne nécessitant aucune manipulation physique, ou ne reposant que sur des validations logicielles automatiques, est moins sûre et peut être vulnérable à ce type d’attaque.

Concrètement : comment utiliser le Bluetooth en toute sécurité

1. Mettez à jour votre accessoire Bluetooth dès qu’une mise à jour logicielle (firmware) est disponible. Cela peut demander l’installation d’une application du fabricant.
2. Consultez la liste des appareils vulnérables.
3. En cas de doute, contactez le support du fabricant pour demander un correctif ou obtenir de l’information sur la sécurité.
4. Soyez prudent dans les lieux publics : limitez l’usage du Bluetooth et soyez vigilant aux notifications d’appairage.
5. Un correctif officiel doit arriver avant fin janvier 2026, mais tout dépend de la réactivité des fabricants d’accessoires pour distribuer la mise à jour.

Enfin, retenez que désactiver Fast Pair sur le téléphone ou réinitialiser vos accessoires ne suffit pas : seule une mise à jour du firmware de l’accessoire règle définitivement le problème.

8 conseils pour protéger vos objets connectés