Une faille majeure met en danger les casques Sony, JBL et Bose : nos conseils pour vous protéger

Une faille de sécurité récemment découverte rend vulnérables plusieurs modèles de casques audio des marques Sony, JBL et Bose, exposant les utilisateurs à un risque potentiel de piratage. Des recommandations sont diffusées pour renforcer la protection des appareils concernés.

Des failles Bluetooth frappent des marques emblématiques

La découverte a de quoi inquiéter les utilisateurs de casques et écouteurs sans fil signés Sony, JBL, Bose, ou encore Jabra. Selon la société de cybersécurité ERNW, d’importantes vulnérabilités menacent une large gamme de produits audio équipés d’une puce Bluetooth du fabricant Airoha. En cause : une absence d’authentification qui ouvre la porte aux attaques ciblées sur ces dispositifs pourtant très populaires.

Quels appareils sont concernés ?

Il serait tentant de croire que seuls quelques modèles isolés sont visés. Pourtant, la liste dressée par les chercheurs est longue et comprend des références aussi récentes que le Sony WH-1000XM6, les Bose QuietComfort Earbuds, ou encore le Jabra Elite 8 Active. La faille touche des produits allant des casques haut de gamme aux écouteurs grand public, en passant par des enceintes connectées. Notons cependant que nombre d’autres appareils utilisant le même composant pourraient être affectés sans même que leurs fabricants en soient informés — « certains vendeurs ignorent totalement utiliser une puce Airoha dans leur produit », avertit l’étude.

Voici quelques modèles explicitement identifiés :

• Sony WH-1000XM6, WF-1000XM5, Link Buds S…
• Bose QuietComfort Earbuds
• JBL Live Buds 3, Endurance Race 2…
• Marshall Action III, Major V…
• Jabra Elite 8 Active

Mécanisme et risques : la proximité comme condition sine qua non

Mais comment cette vulnérabilité se matérialise-t-elle ? Le problème réside dans l’absence d’authentification sur certaines fonctions du Bluetooth (« Bluetooh Low Energy (BLE) GATT services et BD/EDR ou Bluetooth Classic » »), permettant à un individu malveillant situé dans un rayon d’une dizaine de mètres d’intercepter l’audio, détourner l’appareil ou accéder à des informations sensibles comme les numéros et contacts téléphoniques reliés au casque ou aux écouteurs. Toutefois, il faut souligner que la mise en œuvre d’une attaque exige un haut niveau technique — rien n’indique pour l’heure une exploitation massive.

Selon les spécialistes : « L’accès se fait via Bluetooth BR/EDR ou BLE. Être dans la zone de portée Bluetooth reste la seule condition préalable. Il devient alors possible de lire et écrire dans la mémoire vive ou flash de l’appareil, compromettant également ses connexions avec d’autres équipements comme le smartphone lié. »

Sécurité : précautions immédiates et correctifs attendus

Face à ces failles, deux mesures s’imposent en attendant les mises à jour promises. Premièrement, désactiver le Bluetooth dès lors que l’on se trouve dans un lieu public réduit considérablement les risques — quitte à revenir temporairement à une solution filaire comme certains modèles Sennheiser IE 200. Ensuite, surveiller attentivement les annonces des fabricants : selon ERNW, un correctif a été intégré par Airoha dans son dernier SDK diffusé aux marques début juin. Reste à attendre leur déploiement effectif via une mise à jour du firmware pour chaque appareil concerné.

Pour limiter toute menace numérique potentielle, garder ses logiciels antivirus et gestionnaires de mots de passe à jour demeure plus pertinent que jamais dans ce contexte mouvant.