Piratage de casques Bluetooth : une nouvelle voie d’intrusion vers les smartphones

 (media.ccc.de)
16 points par GN⁺ 2026-01-02 | 1 commentaires | Partager sur WhatsApp
  • Des vulnérabilités dans des puces audio Bluetooth peuvent permettre de prendre totalement le contrôle d’un casque, avec pour conséquence une extension potentielle de l’attaque jusqu’au smartphone connecté
  • Des casques/écouteurs de grandes marques comme Sony, Marshall, Jabra sont confirmés comme étant affectés
  • Trois vulnérabilités ont été découvertes dans le SoC audio Bluetooth d’Airoha : CVE-2025-20700, CVE-2025-20701, CVE-2025-20702
  • En exploitant le fait que les casques sont des périphériques Bluetooth de confiance, les chercheurs ont démontré la possibilité d’attaquer un smartphone via le protocole Bluetooth personnalisé RACE, qui permet l’accès au firmware et à la mémoire
  • Avertissement : la sécurité des périphériques Bluetooth pourrait devenir un nouveau point faible de la sécurité des smartphones

Aperçu des vulnérabilités des puces Airoha

  • L’équipe de recherche a découvert trois vulnérabilités, CVE-2025-20700, CVE-2025-20701, CVE-2025-20702, dans des puces audio Bluetooth populaires développées par Airoha
    • Ces puces sont largement utilisées dans des casques et écouteurs Bluetooth de nombreux fabricants
  • Les vulnérabilités peuvent permettre une prise de contrôle complète de l’appareil, et la démonstration a montré un impact immédiat sur des casques de dernière génération
  • Les attaquants peuvent ensuite viser comme seconde cible des appareils liés par une relation de confiance, comme un smartphone appairé

Protocole RACE et accès au firmware

  • Au cours de leurs recherches, les chercheurs ont découvert un puissant protocole Bluetooth personnalisé appelé RACE
    • Ce protocole offre des fonctions de lecture et d’écriture de données dans la flash et la RAM du casque
  • Cela ouvre la possibilité de lire, modifier ou personnaliser le firmware
    • Un casque Bluetooth ainsi infecté peut ensuite servir à attaquer un smartphone appairé
    • Le vol d’une Bluetooth Link Key peut permettre d’usurper l’identité d’un périphérique
    • Le fait même que le smartphone fasse confiance à ses périphériques devient un vecteur d’attaque
  • Les chercheurs ont utilisé cette capacité pour poser les bases de correctifs de sécurité et d’une extension des recherches

Fabricants et produits concernés

  • Parmi les appareils mentionnés comme affectés figurent Sony (WH1000-XM5, WH1000-XM6, WF-1000XM5), Marshall (Major V, Minor IV), Beyerdynamic (AMIRON 300) et Jabra (Elite 8 Active)
  • Airoha est un fournisseur de SoC Bluetooth ainsi que de designs de référence et de SDK
    • De nombreuses marques audio connues fabriquent leurs produits sur la base des SoC et SDK d’Airoha
    • L’entreprise détient notamment une forte part de marché dans le segment des TWS (True Wireless Stereo)

Problèmes de sensibilisation des utilisateurs et de mises à jour de sécurité

  • Les chercheurs soulignent que certains fabricants n’ont pas suffisamment informé les utilisateurs des vulnérabilités ni des mises à jour de sécurité
  • L’objectif de la publication est d’alerter les utilisateurs et de divulguer des détails techniques afin que les chercheurs puissent poursuivre les travaux sur la sécurité des appareils basés sur Airoha
  • En parallèle de la présentation, un outil permettant de vérifier si un appareil est concerné ainsi que des outils d’analyse pour les chercheurs ont été publiés

Portée générale pour la sécurité des périphériques Bluetooth

  • À mesure que la sécurité des smartphones se renforce, les attaquants peuvent déplacer leur attention vers les périphériques (casques, écouteurs, etc.)
  • Si une Bluetooth Link Key est dérobée, un attaquant peut se faire passer pour un périphérique et accéder à des fonctions du smartphone
  • C’est pourquoi il est important de renforcer la sécurité des périphériques Bluetooth et la gestion des vulnérabilités

À lire aussi

1 commentaires

 
GN⁺ 2026-01-02
Avis sur Hacker News

  • Je suis content que cet article reçoive enfin de l’attention
    Présenté récemment au 39C3 à Hambourg, il montre que des casques Bluetooth courants utilisant un SoC Airoha peuvent être totalement compromis avec un simple ordinateur portable Linux, sans authentification (CVE-2025-20700~20702)
    Il est possible d’accéder au dump du firmware, aux réglages utilisateur, aux clés de session, et même au morceau en cours de lecture
    Parmi les marques touchées : Sony (WH1000-XM5/XM6, WF-1000XM5), Marshall (Major V, Minor IV), Beyerdynamic (AMIRON 300), Jabra (Elite 8 Active), etc.
    La plupart des fabricants ont réagi lentement, mais Jabra a été une exception avec une réponse particulièrement rapide
    Ce qui est intéressant, c’est que malgré cette faille, le protocole Bluetooth LE « RACE » d’Airoha continuera probablement à être utilisé
    Les utilisateurs Linux y gagnent au passage une opportunité de contrôler plus finement leur casque
    Par exemple, en basculant automatiquement la fonction « hearthrough » lors de la mise en sourdine
    Outil lié : RACE Reverse Engineered - CLI Tool
    Je pense qu’un niveau pareil d’écoute audio à distance devrait aussi être traité comme une question de sécurité nationale

    • Je fais partie de l’équipe de recherche
      Beaucoup de gens préfèrent le texte à la vidéo, donc je laisse ici les ressources associées
      Blog : Bluetooth Headphone Jacking - Full Disclosure
      Livre blanc : ERNW Publications
    • Sony n’a pas publié d’annonce officielle, mais les utilisateurs de l’application ont probablement reçu une notification de mise à jour du firmware discrètement déployée
      La plupart des fabricants utilisent leur propre service UUID pour le contrôle des paramètres
      Sur Android, il existe des clients open source comme Gadgetbridge, mais pour Linux je ne sais pas trop
    • Moi non plus, je ne regarde pas beaucoup les vidéos techniques, donc je vote rarement pour les liens YouTube
    • Si on peut aussi lire de l’audio, c’est le rêve des farceurs
      La réaction rapide de Jabra n’est pas surprenante : l’entreprise est centrée sur le marché professionnel, donc la sensibilité à la sécurité y est plus forte
      Sony est désormais surtout une marque grand public, ce qui explique peut-être une réponse plus lente
    • Il existe déjà des applications qui ont rétroconçu le protocole de communication des AirPods
      Il s’agit de AndroPods en 2020 et de LibrePods en 2024
      Mais à cause d’un bug de la pile Bluetooth d’Android, il est impossible d’exécuter les commandes sans accès root
      Problème lié : Google Issue Tracker

  • Quand OpenBSD a dit qu’ils ne développaient pas le Bluetooth, tout le monde s’est fâché, mais avec le recul c’était une décision avisée
    Le Bluetooth est un standard complexe et bancal, et même des appareils haut de gamme comme le Sony WH1000 n’y échappent pas
    J’utilise moi aussi des AirPods Pro et un WH1000-XM5, mais je savais déjà que le Bluetooth, c’est au final du « piratage sur piratage »
    Il n’y a presque aucun moyen d’inspecter l’état interne, jusqu’à des choses aussi basiques que l’absence d’indication de la puissance du signal

    • Ce n’est pas un problème du Bluetooth lui-même, mais du fait que le chipset Airoha a été livré avec une interface de débogage permettant de lire la mémoire du SoC sans authentification
      Apparemment, même l’adresse e-mail de sécurité ne fonctionnait pas
    • Je me dis qu’il vaudrait peut-être mieux transmettre l’audio en Wi‑Fi
      Ça ferait au moins une source d’inquiétude en moins
    • Un branchement par câble n’est parfois qu’un petit désagrément, mais avec un écran externe ou un clavier, ça devient assez pénible
    • Dire que « tout le monde a quitté OpenBSD » est exagéré. Il y a encore des gens comme moi qui l’utilisent
    • On en arrive presque à plaisanter qu’il faudrait aussi interdire l’USB, tant les vecteurs d’attaque sont partout

  • J’ai essayé de reproduire les étapes du livre blanc avec le dernier firmware du Sony WH-1000XM4, mais je n’obtiens soit aucune réponse aux commandes, soit des erreurs
    Je ne peux pas l’affirmer avec certitude, mais ça semble corrigé

  • En résumé, des casques de plusieurs fabricants sont vulnérables à la fois en Bluetooth Classic et en BLE
    Ils utilisent le protocole RACE qui fonctionne sans authentification, ce qui permet le dump mémoire et le vol de clés
    Avec ces clés, un attaquant peut se faire passer pour un faux casque afin d’accéder au smartphone
    Il peut aussi accepter des appels, espionner le micro, et aller jusqu’à contourner l’authentification à deux facteurs
    Les seules mesures d’atténuation sont de ne pas utiliser d’appareil vulnérable ou de désactiver le Bluetooth
    Je me demande si les chipsets automobiles ont le même problème

  • Au final, c’est Apple qui a lancé la disparition du jack 3,5 mm. La raison officielle, c’était « l’étanchéité »

    • Quand Apple a invoqué le « courage », tout le monde s’en est moqué, mais les autres fabricants ont fini par suivre
      Aujourd’hui, il est difficile de trouver un smartphone haut de gamme avec une prise jack
    • En réalité, il existe beaucoup de téléphones étanches avec une prise jack
    • Apple avançait aussi le gain de place et une stratégie de long terme
      À la place, l’écosystème des casques USB-C s’est développé, et les dongles DAC de bonne qualité sont devenus une alternative
      Liste associée : USB-C Headphones
    • De nos jours, on voit rarement quelqu’un utiliser des écouteurs filaires. Ça fait un peu penser à quelqu’un qui s’obstine à n’écouter que des CD

  • Je n’ai pas encore regardé la vidéo, mais rien qu’avec le texte de la page, on comprend qu’il s’agit d’une faille menant à une compromission complète de l’appareil
    Le fait qu’un attaquant puisse s’en servir pour viser ensuite le smartphone via le casque est particulièrement frappant
    La présentation couvre la vue d’ensemble de la faille, son impact, les difficultés du processus de correction, ainsi que la publication d’un outil de modification du firmware

    • Si l’on résume les étapes de l’attaque :
      1. connexion à proximité
      2. dump mémoire sans authentification
      3. extraction de la Bluetooth Link Key depuis le dump
      4. connexion au smartphone en se faisant passer pour un faux casque avec la clé extraite
        Ensuite, l’attaquant peut contrôler le smartphone avec les privilèges d’un périphérique de confiance
        Source : commentaire HN

  • Razer n’est pas mentionné, mais le transmetteur Blackshark V3 Pro utilise une puce Airoha AB1571DN
    Côté casque, ce n’est pas clair, et il est difficile de trouver un historique des mises à jour du firmware

  • La vice-présidente Kamala Harris a récemment déclaré dans une interview que « les écouteurs sans fil ne sont pas sûrs »
    Lien vidéo

    • Sans intention politique, mais je ne fais pas confiance aux propos de Harris
      Le Bluetooth est depuis le départ une technologie peu sûre, et la plupart des implémentations sont fragiles
      Vidéo de référence : Lien YouTube
    • La sécurité du Bluetooth en général est faible
      Il est difficile pour l’utilisateur de vérifier si une connexion est sûre, et l’authentification par PIN est peu pratique
      Article lié : article arXiv
    • Ce que Harris évoquait ne semble pas être cette faille précise, mais plutôt une mesure politique fondée sur la conscience de ce risque potentiel
    • Cette vulnérabilité semble avoir déjà été rendue publique vers juin, donc je me demande si l’interview est antérieure

  • C’est dommage que pendant la démo, des gens aient perturbé la présentation en passant des appels farce au numéro affiché

  • Cette présentation pourrait mettre certaines agences gouvernementales dans l’embarras

    • Mais certains pays pourraient au contraire s’en réjouir, selon qui connaissait déjà cette faille