Des chercheurs du groupe COSIC de la KU Leuven ont découvert une faille de sécurité dans le Google Fast Pair Service. Elle permettrait une mise sur écoute à distance au moyen d’écouteurs et de casques sans fil.
Le Google Fast Pair Service (GFPS) est un outil destiné à faciliter l’appairage (‘pairing’) d’appareils sans fil via Bluetooth avec un smartphone. Via ce service, il est possible d’un simple clic d’associer et de synchroniser un appareil via un compte Google. Le service contient cependant quelques lacunes au niveau de sa sécurité, ce qui fait que des centaines de millions d’appareils Bluetooth peuvent courir un risque, de même que des écouteurs et casques de marques connues.
Fast Pair
La faille résulte de tentatives d’améliorer la facilité d’emploi. Pour appairer un nouvel appareil, il convient de le placer explicitement en mode ‘pairing’ conformément au protocole Bluetooth classique, en maintenant par exemple une pression sur un bouton. Ce faisant, il n’est en principe possible que d’appairer des appareils familiers. Le service Fast Pair permet toutefois de contourner cette étape, comme l’ont découvert les chercheurs de COSIC. Un agresseur pourrait via l’outil, en quelques secondes, appairer son appareil à un autre sans fil, sans l’approbation du propriétaire.
Les chercheurs ont appelé ces attaques WhisperPair. Un agresseur pourrait par exemple exploiter cette faille dans le train pour se connecter au casque d’une autre personne. De cette manière, il pourrait prendre le contrôle de la connexion audio et enregistrer une communication téléphonique qui ne lui est pas destinée.
Un autre exemple porte sur le traçage. Certains appareils supportent le réseau Find Hub de Google, qui permet de retrouver des appareils égarés. Si une victime (par exemple l’utilisateur d’un iPhone qui utilise un casque Fast Pair) n’a jamais connecté son casque à un appareil Android, Il est possible qu’un agresseur s’enregistre sans fil en tant que propriétaire du casque en question. Comme le compte Google de l’agresseur est désormais enregistré comme étant celui du propriétaire de l’appareil, l’agresseur peut tracer l’emplacement du casque (et donc de l’utilisateur) via le réseau Find Hub.
Bug structurel
Les chercheurs font remarquer qu’il ne s’agit pas d’une faille dans l’un ou l’autre appareil, mais d’un bug structurel au sein du service logiciel. COSIC a testé 25 appareils commerciaux de 16 fabricants, équipés de 17 chipsets Bluetooth différents. Sur 68 pour cent de ces appareils, les chercheurs ont réussi à prendre le contrôle de la connexion et mettre le microphone sur écoute.
Outre cette vulnérabilité, les chercheurs évoquent aussi une solution: IntentPair. Il est question ici d’un ajustement minimal apporté au protocole Fast Pair, en vue de pouvoir démontrer sur le plan cryptographique que l’appareil se trouve en mode d’appairage (‘pairing’). Si l’utilisateur n’a pas physiquement pressé un bouton, les clés cryptographiques ne correspondront pas, et l’attaque échouera. COSIC a signifié aussi la vulnérabilité à Google, qui, avec ses partenaires, devrait ce mois-ci sortir une mise à jour de sécurité en vue de corriger le bug.
Les chercheurs ont partagé leurs résultats avec Google qui a confirmé le problème (CVE-2025-36911) et l’a classifié comme ‘critique’ (la catégorie la plus élevée des vulnérabilités). Google et ses partenaires sortiront une mise à jour sécuritaire dans le courant de ce mois.