CVE-2025-36911

WhisperPair : Une faille Bluetooth qui compromet la vie privée

Une vulnérabilité découverte, baptisée “WhisperPair” (CVE-2025-36911), affecte le processus d’appairage par clé des accessoires audio Bluetooth utilisant le protocole Fast Pair de Google. Une erreur logique dans le code empêche une vérification adéquate du mode d’appairage par les appareils.

Points clés :

• La vulnérabilité concerne le protocole Fast Pair de Google.
• Elle permet à un attaquant proche physiquement d’exploiter la faille.
• Aucun privilège d’exécution supplémentaire ni interaction utilisateur n’est requis pour l’exploitation.

Vulnérabilités :

• CVE-2025-36911 (WhisperPair) : Défaut de vérification du mode d’appairage dans le processus de connexion par clé.

Impacts potentiels :

• Divulgation d’informations à distance : Accès aux conversations et aux données de localisation des utilisateurs.
• Appairage forcé : Un attaquant peut associer de force des accessoires vulnérables à son propre appareil.
• Prise de contrôle de l’accessoire audio : Permet de diffuser du son à fort volume, d’enregistrer via le microphone ou de suivre la localisation de l’utilisateur (si l’accessoire est connecté au réseau Find Hub de Google).

Recommandations :

Bien que l’article ne détaille pas explicitement les recommandations pour les utilisateurs finaux, il est implicite que les fabricants d’appareils et les développeurs de logiciels doivent corriger cette faille logique dans leurs implémentations du protocole Fast Pair. Les utilisateurs devraient s’assurer que leurs appareils et accessoires Bluetooth sont à jour avec les derniers correctifs de sécurité dès qu’ils sont disponibles.

Source