Si vous possédez un appareil Android et que vous utilisez des écouteurs ou des écouteurs sans fil, retirez-les pendant une seconde et écoutez : comme l’a signalé pour la première fois WIRED, des millions d’appareils audio de marques réputées comme Sony, JBL, Anker, Sonos et même Google lui-même sont désormais confrontés à une faille de sécurité majeure qui pourrait permettre aux pirates d’écouter vos conversations ou de suivre votre position. Il existe des moyens de boucher le trou, mais vous devrez franchir quelques obstacles pour y parvenir.
Comment fonctionne l’attaque « WhisperPair »
La vulnérabilité a été découverte pour la première fois par le groupe de sécurité informatique et de cryptographie industrielle de l’Université KU Leuven de Belgique, et est surnommée « WhisperPair ». Il tire parti de la fonction Fast Pair d’Android, qui permet des connexions pratiques en un seul clic avec des appareils Bluetooth à proximité, similaires à ce qui pourrait apparaître sur l’écran de votre iPhone si vous ouvrez un boîtier AirPods à proximité. Malheureusement, selon les chercheurs, ils ont découvert qu’il est possible pour un acteur malveillant de détourner le processus de couplage, en lui donnant une fenêtre cachée sur votre appareil audio tout en le laissant se connecter à votre téléphone ou votre tablette, sans vous laisser savoir.
« Vous marchez dans la rue avec vos écouteurs, vous écoutez de la musique. En moins de 15 secondes, nous pouvons pirater votre appareil », a déclaré Sayon Duttagupta, chercheur à la KU Leuven, à WIRED.
OK, donc un pirate informatique peut écouter avec vos écouteurs. Gros ouf. Mais oui, en fait. Gros whoop en effet.
Comment cela vous met en danger
Une fois qu’un pirate informatique s’associe à votre appareil audio, il peut l’utiliser pour écouter vos microphones, écouter toutes les conversations privées qui pourraient passer par vos haut-parleurs, lire son propre audio au volume qu’il souhaite et, si votre appareil prend en charge Google Find Hub, peut-être même suivre votre position.
Cette dernière vulnérabilité est la plus préoccupante pour moi, même si elle est aussi la plus difficile à exploiter pour les pirates. À l’heure actuelle, cela n’est documenté que dans les Google Pixel Buds Pro 2 et cinq produits Sony, et nécessite que vous ne les ayez pas connectés auparavant à un appareil Android ou que vous ne les ayez pas associés à un compte Google.
Pourtant, même sans suivi de localisation, il n’est certainement pas idéal pour un pirate informatique d’avoir accès à tout moment à un microphone dans votre maison.
Comment se protéger
Les chercheurs ont contacté Google, qui a proposé une série de correctifs recommandés, mais voici où les problèmes surviennent : ces correctifs doivent être mis en œuvre par les fabricants d’accessoires sur une base individuelle, et vous devrez probablement les installer manuellement.
Ce à quoi cela ressemblera diffère en fonction de l’appareil dont vous disposez. JBL, par exemple, a déclaré à WIRED qu’il avait commencé à publier des mises à jour en direct pour corriger la vulnérabilité, tandis que Logitech a déclaré avoir « intégré un correctif de micrologiciel pour les unités de production à venir ». Vie Associative contacte d’autres sociétés proposant des produits concernés, et je mettrai à jour cet article lorsque nous aurons une réponse.
Pour vous assurer d’obtenir les correctifs de votre appareil lors de leur déploiement, le chercheur qui a découvert WhisperPair suggère de télécharger l’application correspondante, ce que proposent la plupart des appareils audio de nos jours. « Si vous n’avez pas (l’application Sony), vous ne saurez jamais qu’il existe une mise à jour logicielle pour vos écouteurs Sony », a déclaré Seppe Wyns, chercheur à la KU Leuven, à WIRED.
Du côté positif, si vous possédez un appareil audio Google concerné, vous devriez être clair : la société affirme avoir déjà envoyé des correctifs pour eux. Malheureusement, Google n’est pas magique. La société a également déclaré avoir tenté de mettre à jour Find Hub pour bloquer la vulnérabilité de suivi de localisation de tous les appareils, que leur fabricant les ait mis à jour ou non. Malheureusement, les chercheurs de la KU Leuven ont déclaré avoir réussi à contourner cette solution universelle en quelques heures.
Malheureusement, Fast Pair ne peut pas être désactivé, donc jusqu’à ce que le fabricant de votre appareil déploie sa propre mise à jour, il sera vulnérable. Il existe un bouton de panique sur lequel vous pouvez appuyer si vous remarquez un comportement inhabituel entre-temps, car les chercheurs affirment que la réinitialisation de votre appareil audio aux paramètres d’usine le débarrassera de tous les pirates informatiques déjà couplés. Malheureusement, cela le rend toujours vulnérable aux nouveaux pirates informatiques.
Le risque est réel mais surtout théorique pour l’instant
Le bon côté des choses, même si les préoccupations ici sont bien réelles, Google dit que vous n’avez pas à vous inquiéter. aussi beaucoup encore. La société a déclaré à WIRED qu’elle n’avait « vu aucune preuve d’exploitation en dehors du laboratoire de ce rapport ». Cela signifie que les chercheurs en question pourraient être les premiers à découvrir WhisperPair, même si les chercheurs eux-mêmes se montrent un peu plus prudents, car ils remettent en question la capacité de Google à observer le détournement audio sur les appareils d’autres sociétés.
Sur cette note, si vous êtes un utilisateur d’iPhone suffisant en lisant ceci, vous ne devriez pas vous sentir trop à l’aise : WhisperPair pourrait également vous affecter. Bien que la vulnérabilité ne puisse pas provenir sur un appareil Apple, si vous connectez un appareil déjà piraté sur Android à votre iPhone ou iPad, alors vous êtes dans le même bateau.
Comment savoir si vous êtes à risque
J’aimerais pouvoir proposer une solution simple qui renforcerait instantanément la sécurité de tous vos appareils, mais malheureusement, rester à l’abri de WhisperPair nécessitera une certaine vigilance de votre part, en particulier la recherche d’une mise à jour du fabricant de votre appareil. Pour vérifier si la vulnérabilité WhisperPair vous affecte, visitez le site Web des chercheurs et recherchez votre appareil. Il vous indiquera le fabricant, s’il est vulnérable et les mesures que vous pouvez prendre pour remédier à la vulnérabilité. Notez que la courte liste qui apparaît en premier sous la barre de recherche n’inclut pas tous les appareils vulnérables, alors ne présumez pas que vous êtes en sécurité simplement parce que vous n’y voyez pas le vôtre : recherchez-le d’abord.
