Mettez à jour vos casques et enceintes Bluetooth: une faille permet à des hackers de prendre le contrôle de centaines de millions d’appareils et même d’écouter vos conversations ou de vous localiser

A grand pouvoir, grande faille de sécurité? En lançant son protocole Fast pair en 2017, Google a grandement fluidifié la connexion entre un smartphone sous Android et un objet connecté, notamment les casques, les écouteurs et les enceintes Bluetooth. Mais voilà, aussi pratique soit-il, il est victime d'une faille de sécurité qui permet à des personnes malintentionnées de savoir ce que vous écoutez, de vous écouter et même de vous localiser.

Des chercheurs en sécurité du Cosic (Computer Security and Industrial Cryptography) de l'université catholique belge de Louvain ont en effet révélé une série de vulnérabilités au sein de 17 accessoires audio utilisant Fast Pair et vendus par une dizaine d'entreprises qui ont pignon sur rue dont Google, Jabra, JBL, Logitech, Marshall, Nothing, Sony ou encore Xiaomi. Au total ce sont des centaines de millions d'écouteurs, casques et haut-parleurs qui sont concernés.

Une attaque possible en moins de 15 secondes

Les chercheurs en sécurité ont utilisé une technique de piratage, qui permet à n'importe qui de se connecter à votre périphérique audio de manière silencieuse, sans que vous le sachiez, et ce, jusqu'à 15 mètres de distance.

Dès lors que la connexion est établie, l'attaquant peut facilement écouter des conversations privées, puisqu'il est possible de prendre le contrôle du micro (s'il y en a un, bien entendu) en restant indétectable. Et si l'appareil en question peut être localisé (via Find Hub), le pirate pourra également savoir où vous vous trouvez... Moins grave, la personne mal intentionnée qui a pris le contrôle de votre appareil pourra même y diffuser la musique de son choix... L'horreur.

Le piratage de l'appareil ne semble pas très compliqué, quand on s'est s'y prendre, et à en croire la vidéo ci-dessous.

"En moins de 15 secondes, nous sommes en mesure de détourner un appareil", explique Sayon Duttagupta, chercheuse à l'univerisité de Louvain.

Pour prendre le contrôle de votre appareil, sans que vous le sachiez, l'assaillant récupère l'ID de l'appareil lorsqu'il est partagé avec un ordinateur ou un smartphone et peut même interroger l'API de Google pour valider le modèle utilisé.

Cela va même plus loin pour certains produits comme les Pixel Buds Pro 2. Si celui-ci n'était pas lié à un compte Google, l'attaquant pouvait l'ajouter au sien - le protocole étant conçu de sorte que l'accessoire estime que le premier appareil avec lequel il se connecte est son propriétaire légitime. De quoi ajouter également votre localisation au Find Hub du compte Google du pirate.

Des correctifs pas toujours accessibles

En réponse à cette découverte, Google a publié un avis de sécurité, décrivant ses efforts pour résoudre le problème. Car cette faille concerne en l'état plusieurs centaines de millions d'appareils. Par ailleurs, le géant de la recherche, qui a été averti en août de ce problème, a commencé à contacter certains fabricants partenaires. Des patchs sont venus corriger cette vulnérabilité.

Mais les chercheurs s'inquiètent néanmoins que de nombreux appareils ne profiteront pas de cette mise à jour car ils sont pour certains trop anciens, et ne sont donc plus supportés. Si dans le secteur des smartphones, les fabricants étendent de plus en plus la durée de vie du suivi logiciel, ce n'est pas le cas des appareils connectés, qui reçoivent généralement jusqu'à deux ans de mises à jour. Par ailleurs, certains constructeurs passent par des applications dédiées mais non obligatoires pour faire fonctionner l'appareil - c'est le cas de Sony.

Contacté par Wired, Google a affirmé avoir corrigé cette faille sans qu'elle n'ait été exploitée - un point sur lequel les chercheurs sont bien plus prudents, avançant qu'il n'y a aucun moyen de le vérifier. Fast Pair et Fast Hub étant encore supportés par la firme, d'autres correctifs sont attendus. Les accessoires de Google ont par ailleurs déjà reçu un patch.

Notons au passage que la société de Mountain View n'est pas le seul fautif de l'histoire: les chercheurs expliquent qu'elle est en grande partie possible car certains fabricants n'utilisent pas le protocole de la bonne manière et approuvent la connexion Bluetooth avant même que l'utilisateur ne l'ait validée.

Le média américain a également contacté les constructeurs concernés. Tous ont confirmé avoir reçu la communication de Google et certains annoncent des mises à jour via leur application dédiée "dans les prochaines semaines". C'est notamment le cas de JBL, Redmi et Xiaomi. Jabra a, quant à lui, déjà publié son correctif, tandis que Logitech va corriger le problème "dans de futures unités" de son enceinte connectée concernée, assurant néanmoins qu'il n'y avait pas de microphone intégré.

Pour savoir si un de vos appareils est concerné par cette faille, nommé "Whisperpair" par les chercheurs qui l'ont découverte, rendez-vous sur ce site web.