Des chercheurs en sécurité ont découvert une vulnérabilité appelée WhisperPair dans 17 appareils audio utilisant le protocole Google Fast Pair, permettant aux hackers d'accéder aux microphones et de suivre les positions dans la portée Bluetooth. La faille affecte les produits de 10 fabricants, dont Sony et Google, et provient d'une implémentation incorrecte de la norme d'appairage. Google a collaboré avec les chercheurs pour résoudre le problème, bien que les correctifs complets dépendent des partenaires matériels.
Une équipe de chercheurs de l'Université KU Leuven en Belgique a révélé la vulnérabilité WhisperPair le 15 janvier 2026, affectant 17 modèles d'écouteurs et d'enceintes certifiés pour le protocole Google Fast Pair. Cette fonctionnalité d'appairage en un appui, conçue pour simplifier les connexions Bluetooth, a été mal implémentée par certains partenaires matériels, permettant des appairages non autorisés même hors mode appairage. L'attaque nécessite qu'un hacker soit à portée Bluetooth — jusqu'à 14 mètres — et connaisse le numéro de modèle de l'appareil, facilement accessible. Elle prend une médiane de 10 secondes, ou moins de 15 dans certains cas, pour hijacker l'appareil. Comme l'a expliqué le chercheur de KU Leuven Sayon Duttagupta à Wired : «Vous marchez dans la rue avec vos écouteurs, en écoutant de la musique. En moins de 15 secondes, nous pouvons hijacker votre appareil. Ce qui signifie que je peux activer le microphone et écouter les sons ambiants. Je peux injecter de l'audio. Je peux suivre votre position.» Une fois connecté, les attaquants peuvent interrompre les flux audio, jouer leurs propres sons, écouter via le microphone ou utiliser Find Hub de Google pour localiser l'appareil. La vulnérabilité s'applique même aux utilisateurs non Android si l'appareil n'est pas lié à un compte Google, permettant potentiellement aux hackers de l'associer au leur. Les chercheurs ont informé Google en août 2025, entraînant une collaboration via le programme de récompenses pour vulnérabilités de l'entreprise. Google a fourni des correctifs aux partenaires en septembre 2025 et mis à jour son réseau Find Hub, mais l'équipe a rapidement trouvé un contournement. Un porte-parole de Google a déclaré : «Nous apprécions la collaboration avec les chercheurs en sécurité... Nous avons travaillé avec ces chercheurs pour corriger ces vulnérabilités, et nous n'avons pas vu de preuves d'exploitation en dehors de l'environnement de laboratoire de ce rapport. Comme meilleure pratique de sécurité, nous recommandons aux utilisateurs de vérifier les mises à jour de firmware les plus récentes pour leurs écouteurs.» Les fabricants affectés incluent Sony, Jabra, JBL, Marshall, Xiaomi, Nothing, OnePlus, Soundcore, Logitech et Google. Les Pixel Buds de Google ont reçu des correctifs, tandis que OnePlus enquête. La faille ne peut pas être désactivée, et de nombreux utilisateurs peuvent rester vulnérables sans installer les applications des fabricants pour les mises à jour. Les chercheurs conseillent des vérifications régulières du firmware et un réinitialisation d'usine en cas de suspicion de compromission, notant qu'aucun exploit réel n'est connu à ce jour.
