Un haut-parleur connecté en USB peut infecter un PC sans contact, par voie radio

Des chercheurs de l'Université de la Ruhr à Bochum ont montré qu'un haut-parleur USB-Bluetooth très répandu peut recevoir une injection de code dans son micrologiciel à plus de 30 mètres puis envoyer des commandes de type clavier ou souris à l'ordinateur connecté. L'information, rapportée par Ars Technica, révèle une nouvelle classe d'attaque qui ne nécessite aucune action de l'utilisateur.

L'attaque exploite un défaut de validation dans la couche GATT du protocole Bluetooth Low Energy (BLE). Le produit permet aux utilisateurs de charger des thèmes ou des profils d'égalisation audio via BLE depuis une application mobile ; les chercheurs ont confirmé que le même canal peut aussi transférer du code exécutable.

Le nom du produit sera enregistré dans le système Common Vulnerabilities and Exposures (CVE) lors d'une divulgation coordonnée dans les semaines à venir. Ars Technica indique que le fabricant dispose du temps nécessaire pour déployer un correctif, mais note que le produit affiche une note moyenne de quatre étoiles sur Amazon et Best Buy et bénéficie d'une distribution large.

Une fois le micrologiciel injecté, l'appareil peut envoyer au PC, via USB, des commandes Human Interface Device (HID). En clair : se faire passer pour un clavier, ouvrir un terminal, exécuter un script et finalement charger un programme malveillant.

La caractéristique décisive de l'attaque est la portée offerte par BLE : l'attaquant peut opérer à plus de 30 mètres. Dans un open space, un café, une bibliothèque ou une salle de conférence, il n'a pas besoin d'un accès physique à la cible.

Les chercheurs présenteront leurs travaux en détail à Black Hat USA 2026. Le professeur Christof Paar, directeur du groupe de Bochum, a déclaré à Ars Technica : "L'électronique grand public dotée d'un micrologiciel inscriptible par BLE a explosé. Si les fabricants ne prennent pas la validation au sérieux, cette classe d'attaque va se développer."

Côté utilisateurs, l'article énumère des mesures concrètes : éviter les produits qui n'affichent pas de dialogue de confirmation pour les mises à jour de micrologiciel par BLE, désactiver les appareils restant en mode "GATT discoverable" et déployer une protection des terminaux capable de remonter des alertes HID au niveau OS.

Pour les services informatiques d'entreprise, le modèle d'attaque pourrait imposer une mise à jour des politiques de contrôle des terminaux USB. Les listes blanches USB existantes filtrent souvent par vendor/product ID ; ces contrôles peuvent être contournés lorsque l'appareil se présente comme une classe HID ordinaire.

D'autres produits dotés d'une architecture similaire sont en cours d'analyse par des chercheurs en sécurité ; une famille de produits plus large pourrait être touchée. Parmi les fabricants étudiés figurent sonnettes connectées, casques USB et concentrateurs domotiques.

Les parades des utilisateurs dépendent de la rapidité avec laquelle les fabricants publieront leurs correctifs. Ars Technica juge que le renforcement des politiques USB en entreprise et l'isolement des appareils BLE grand public du réseau professionnel constituent la défense la plus solide à court terme.