La vuln découverte par des chercheurs belges en Août 2025, la CVE-2025-36911 qui exploite une faille du Google Fast Pair, fait beaucoup parler d’elle ces derniers jours. Depuis que Wired l’a mise en avant, news reprise un peu partout, tous les regards se tournent vers une potentielle app pour Flipper Zero.
Pour résumer en quelques mots, un attaquant peut détourner des appareils audio Bluetooth et écouter ou enregistrer les flux audio du téléphone, dont il peut aussi prendre certains contrôles. Il peut aussi suivre les victimes via le réseau Localiser de Google. Autant dire que si c’est invisible pour la victime, le vilain Monsieur Capuche peut se goinfrer de quelques données exploitables, qu’il s’agisse de particuliers comme de professionels.
Le site whisperpair.eu vous permet de vérifier si vos appareils sont reconnus comme étant vulnérables ou non. Il vous suffira pour cela de cliquer sur le bouton « Is my device vulnerable« . Si le statut est « Unknown« , « Inconnu » en français, vous pourrez vérifier régulièrement son évolution. Les fabriquants, du moins les plus sérieux, devraient proposer un correctif dans un futur plus ou moins proche.
A titre d’exemple, je possède une paire de JBL TUNE BEAM qui apparaît encore au moment où j’écris ces lignes comme étant vulnerable.
Bien que les regards inquiets se tournent vers le Flipper Zero, qui n’est pourtant pas l’appareil le plus adapté pour ça, un simple smartphone suffit comme nous le montre zalexdev avec son app mobile wpair-app. Une fois le fichier apk téléchargé, vous pouvez l’installer sur votre smartphone Android (à condition que le developer mode soit activé) et tester vos écouteurs Bluetooth.
Voici une démo rapide avec mes TUNE BEAM connectés à un Samsung Galaxy S22 et dont je prends le contrôle à partir d’un S25.
Au-delà de prendre le contrôle du volume, ce qui permet de faire des bonnes blaques « hahaha xptdr mort de lol », l’attaquant peut aussi enregistrer les flux audio de votre smartphone. Si vous êtes en train d’écouter à ce moment précis du Justin Bieber, tant pis pour lui, il aura juste un acouphène pendant quelques temps. Mais s’il s’agit d’une conversation professionelle, certaines informations pourraient lui être aussi importantes qu’utiles.
Si vous utilisez régulièrement des écouteurs ou casques Bluetooth à l’extérieur, il est plus prudent de prendre cette vuln au sérieux et d’éviter de les utiliser tant que vos appareils sont considérés comme vulnerables ou pas encore confirmés.