Vous glissez le doigt, l’icône Bluetooth devient grise, et vous rangez votre téléphone avec le sentiment d’avoir bien fait les choses. Sauf que non. Sur votre iPhone comme sur une grande partie des smartphones Android, ce geste ne coupe pas vraiment le Bluetooth. La puce radio continue d’émettre. Discrètement, silencieusement, et potentiellement à portée de quelqu’un qui n’attend que ça.
À retenir
- Le bouton Bluetooth du Centre de contrôle ne désactive pas vraiment votre puce radio
- Des vulnérabilités critiques permettent aux pirates d’écouter via vos écouteurs depuis 14 mètres de distance
- La vraie protection demande plus que de mettre à jour : c’est une question d’hygiène numérique
Le tour de passe-passe du Centre de contrôle
Les interrupteurs Wi-Fi et Bluetooth présents dans le Centre de contrôle ne fonctionnent plus comme de simples commutateurs marche/arrêt. Lorsque vous désactivez l’une de ces fonctions, iOS se contente de déconnecter votre iPhone de l’accessoire Bluetooth auquel il était connecté. Les connexions sans fil restent allumées et continuent d’émettre des ondes radio.
Apple a confirmé ce comportement et s’en est expliqué : le but de la manœuvre est de rendre le Wi-Fi et le Bluetooth toujours accessibles pour des fonctions jugées indispensables au bon fonctionnement d’iOS et d’iPadOS : AirDrop, AirPlay, le partage de connexion, l’Apple Pencil, l’Apple Watch, ou encore les services de localisation. Argument recevable, mais qui laisse la puce active sans que l’utilisateur en soit vraiment conscient.
Ce comportement des touches Wi-Fi et Bluetooth du Centre de contrôle est toujours d’actualité à ce jour. depuis iOS 11, rien n’a changé sur ce point. Et le détail qui agace : le Bluetooth se réactive automatiquement à 5h du matin heure locale, ou dès que vous redémarrez l’appareil. Pratique pour Apple. Moins pour vous.
Pour vraiment couper le signal, il faut passer par l’application Réglages, appuyer sur Wi-Fi, désactiver le commutateur, puis faire de même pour Bluetooth dans le menu dédié. Deux étapes supplémentaires que presque personne ne fait. Et c’est exactement sur ce réflexe manquant que reposent certaines attaques.
Ce que les pirates peuvent faire avec votre Bluetooth actif
Laisser le Bluetooth activé en permanence, même inutilisé, revient à laisser une porte ouverte vers votre système d’information. Cette métaphore un peu rebattue prend une dimension concrète quand on regarde ce qui a été découvert ces derniers mois.
En juillet 2025, des chercheurs ont mis au jour des vulnérabilités dans des écouteurs et casques audio largement répandus sur le marché. Ces failles affectent des appareils équipés de puces Airoha, et sont référencées sous les CVE-2025-20700, CVE-2025-20701 et CVE-2025-20702, avec des scores de gravité allant de 8.8 à 9.6 sur l’échelle CVSS. Pour ceux qui ne parlent pas le jargon de la cybersécurité : c’est classé entre « sérieux » et « critique ».
Un attaquant à portée Bluetooth peut se connecter silencieusement à des écouteurs vulnérables, extraire la clé cryptographique stockée en mémoire, et se faire passer pour l’appareil de confiance auprès du smartphone de la victime. La conséquence directe : dans certains scénarios, l’attaquant peut exploiter le profil mains libres pour écouter ce qui se passe via le microphone de vos écouteurs.
Autre exemple révélateur apparu début 2026 : la faille baptisée WhisperPair. Cette vulnérabilité critique expose des centaines de millions d’accessoires audio Bluetooth à une prise de contrôle à distance, une écoute clandestine et un pistage de localisation. Elle touche des appareils de grandes marques comme Sony, Jabra, JBL, Marshall, Xiaomi, Nothing, OnePlus et même Google. L’attaque peut être exécutée jusqu’à 14 mètres de distance, en quelques secondes, sans aucune interaction de l’utilisateur.
Ce qui rend WhisperPair particulièrement pernicieux : l’attaquant n’a besoin que d’un ordinateur portable standard, d’un smartphone, ou d’un appareil bon marché comme un Raspberry Pi. Pas de matériel de spy-movie, rien que du matériel grand public. La menace n’est pas théorique, elle a été démontrée en conditions réelles par des chercheurs de l’université KU Leuven.
La technique du bluesnarfing mérite aussi d’être connue. Le bluesnarfing permet à des pirates d’accéder aux données personnelles stockées sur un appareil mobile via sa connexion Bluetooth. Contrairement aux arnaques par phishing qui nécessitent une action de la victime, cette attaque s’effectue de manière totalement silencieuse et invisible. Une fois la connexion établie, le pirate peut accéder aux contacts, messages texte, photos, vidéos et parfois même à des données bancaires ou des identifiants de connexion.
La FCC américaine, l’équivalent de notre Arcep, a d’ailleurs émis des recommandations claires : « Le garder actif permet aux pirates de découvrir les autres appareils auxquels vous vous êtes connecté auparavant, d’usurper l’un de ces appareils et d’accéder à votre smartphone. »
Les vraies mesures à prendre (et non, ce n’est pas que « mettez à jour »)
Les mises à jour sont la première réponse, et elle reste valable. Maintenir votre système d’exploitation et vos applications à jour constitue une protection réelle : les fabricants publient régulièrement des correctifs qui comblent les failles susceptibles d’être exploitées. Ces mises à jour sont votre première ligne de défense contre les vulnérabilités connues. Mais la prudence ne s’arrête pas là, surtout quand certains fabricants n’avaient pas encore déployé de correctifs complets au moment de la divulgation des failles Airoha.
Côté accessoires, une bonne pratique d’hygiène numérique consiste à revoir périodiquement la liste des appareils associés et d’en supprimer ceux qu’on n’utilise plus. Cela empêche les appareils de se reconnecter automatiquement à des systèmes sur lesquels vous n’avez plus le contrôle total.
La plupart des appareils permettent aussi de limiter le Bluetooth à un mode « non visible », rendant le terminal indétectable par d’autres appareils à proximité lorsque l’appairage n’est pas en cours. C’est une option souvent ignorée qui change pourtant beaucoup de choses en lieu public.
Et pour ceux qui portent des écouteurs bluetooth toute la journée en open space ou dans le métro : les attaques Bluetooth restent intrinsèquement limitées à une courte portée, et nécessitent un attaquant compétent situé à proximité. La portée effective pour la plupart des appareils grand public est d’environ 10 mètres dans des conditions idéales. Le risque existe, mais il est davantage ciblé que massif. Ce n’est pas comme laisser son mot de passe sur un post-it.
La vraie question, au fond, n’est pas de savoir si vous devez éteindre votre Bluetooth par paranoïa, mais de comprendre que le bouton dans le Centre de contrôle de votre téléphone ne fait pas ce que vous croyez. Et que cette petite illusion de contrôle, multipliée par des milliards d’utilisateurs qui pensent avoir « coupé » leur Bluetooth, représente une surface d’attaque massive que les chercheurs en sécurité continuent d’explorer. La prochaine faille découverte sera peut-être dans un appareil que vous portez en ce moment même.
Sources : lesnews.ca | presse-citron.net