CVE-2025-36911

WhisperPair : Une faille Bluetooth exploitable à distance

Une vulnérabilité nommée “WhisperPair” (CVE-2025-36911) affecte le processus d’appairage basé sur des clés des accessoires audio Bluetooth utilisant le protocole Fast Pair de Google. Cette faille est due à une erreur logique dans la vérification du mode d’appairage par les appareils. Un attaquant à proximité physique peut l’exploiter sans privilèges supplémentaires ni interaction utilisateur.

Points clés :

• Protocole affecté : Google Fast Pair pour les accessoires audio Bluetooth.
• Mécanisme de l’attaque : Exploitation d’une erreur logique dans la vérification du mode d’appairage.
• Impact : Divulgation d’informations à distance, prise de contrôle d’accessoires audio.

Vulnérabilités :

• CVE-2025-36911 (WhisperPair)

Conséquences possibles :

• Divulgation d’informations à distance, incluant conversations et données de localisation.
• Appairage forcé d’accessoires avec un appareil malveillant.
• Prise de contrôle de l’accessoire : lecture audio à volume élevé, enregistrement via le microphone.
• Suivi de localisation de l’utilisateur si l’accessoire est compatible avec le réseau Find Hub de Google.

Recommandations :

Bien que l’article ne fournisse pas explicitement de recommandations dans l’extrait donné, la nature de la faille suggère des mesures générales :

• Mises à jour : Appliquer les correctifs de sécurité dès qu’ils sont disponibles pour les appareils et le système d’exploitation.
• Vigilance : Être attentif aux demandes d’appairage inhabituelles ou non sollicitées.
• Désactivation temporaire : Envisager de désactiver le Bluetooth ou Fast Pair lorsque non utilisé dans des environnements non sécurisés.

Source