Articles dans cette section

Déclaration sur la vulnérabilité de sécurité Bluetooth

Joey T.
Mise à jour

Risque de sécurité Bluetooth – Ce que tu dois savoir

Un risque potentiel a été identifié dans la façon dont les appareils COROS et l’application COROS se connectent via Bluetooth, en particulier avant que l’appairage soit terminé. Ce problème est maintenant résolu. Mets à jour ton appareil COROS avec le dernier firmware pour bénéficier des améliorations de sécurité.

Détails complets du rapport de vulnérabilité de sécurité de SySS Tech Blog ici.

Quel est le problème ?

Avant que ton appareil COROS soit complètement appairé avec l’application COROS, un attaquant à proximité (dans la portée Bluetooth — généralement 10 mètres ou 30 pieds) pourrait tenter d’intercepter la connexion en utilisant un appareil falsifié. En théorie, ce « dispositif intermédiaire » pourrait accéder ou relayer une partie de la communication Bluetooth. Une fois l’appairage terminé, le risque est considérablement réduit — mais pas totalement éliminé : 

  • Les appareils iOS bénéficient d’un chiffrement Bluetooth intégré, ce qui ajoute une forte couche de protection. Cependant, dans des cas extrêmement rares, il peut encore y avoir des vulnérabilités si l’appareil est déconnecté et ciblé par un attaquant à proximité utilisant des outils avancés.
  • Les appareils Android présentent un risque légèrement plus élevé dans certains cas — par exemple lorsque la montre est déconnectée du téléphone et qu’un attaquant équipé d’outils spécialisés est à portée. Dans ces situations, il pourrait être possible d’envoyer de fausses notifications, d’intercepter des messages ou de déclencher une tentative de réinitialisation.

Mises à jour

Mise à jour du 17 juillet ✅ 

Produits :
COROS NOMAD, PACE 3, PACE Pro, COROS NOMAD, APEX 2, APEX 2 Pro, APEX 4, VERTIX 2, VERTIX 2S, DURA

Correctifs de sécurité :

  • CVE-2025-32875

  • CVE-2025-32876

  • CVE-2025-32877

Description :

  • Renforce la sécurité de la connexion Bluetooth sur les appareils Android

Mise à jour du 28 juillet ✅ 

Produits :
COROS NOMAD, PACE 3, PACE Pro, COROS NOMAD, APEX 2, APEX 2 Pro, APEX 4, VERTIX 2, VERTIX 2S, DURA

Correctifs de sécurité :

  • CVE-2025-48705

  • CVE-2025-48706

  • CVE-2025-32878

  • CVE-2025-32879

  • CVE-2025-32880

Description :

  • Ajoute la vérification de signature numérique pour les commandes de contrôle

  • Empêche les applications ou appareils non autorisés d’envoyer des commandes de contrôle à ta montre

Mise à jour du 20 août ✅ 

Produits :
PACE 2, APEX Pro, VERTIX, Decathlon GPS 500, Decathlon GPS 900

Correctifs de sécurité :

  • CVE-2025-32875

  • CVE-2025-32876

  • CVE-2025-32877

  • CVE-2025-32879

Description :

  • Protection renforcée du lien Bluetooth pour Android

  • Ajoute la vérification de signature pour les commandes de contrôle

Mise à jour mi-septembre ✅

Produits :
APEX 42mm, APEX 46mm

Correctifs de sécurité :

  • CVE-2025-48705

  • CVE-2025-48706

  • CVE-2025-32878

  • CVE-2025-32879

  • CVE-2025-32880

Description :

  • Sécurité Bluetooth renforcée pour Android

  • Ajoute la vérification de signature pour empêcher les commandes de contrôle Bluetooth non autorisées

Recommandation temporaire

On pense que ces risques sont peu probables pour les utilisateurs au quotidien, mais si tu veux être sûr de te protéger contre ces scénarios, voici quelques recommandations :

  1. Si tu as un nouvel appareil COROS, connecte-le à l’application COROS chez toi ou dans un endroit non public.
  2. Si tu utilises Android, force simplement la fermeture de l’application COROS quand tu ne t’en sers pas. Cela empêche les notifications d’être transmises à la montre dans de rares scénarios d’attaque.
    1. Quand l’application COROS est fermée ou forcée à quitter, ton téléphone n’essaiera plus de communiquer avec ton appareil COROS donc tout appareil pirate ne pourra pas réussir.

Ce qu’on fait à ce sujet

Depuis septembre 2025, le problème est maintenant résolu. Mets à jour ton appareil COROS avec le dernier firmware pour bénéficier des améliorations de sécurité.
  • Mi-juillet : Tests internes d’un correctif firmware qui empêche ce risque.
  • Fin juillet : Déploiement public complet du correctif pour les appareils suivants :
    • PACE 3, PACE Pro
    • APEX 2, APEX 2 Pro
    • VERTIX 2, VERTIX 2S
    • DURA
  • Les autres appareils suivront peu après :
    • PACE 2
    • APEX 42mm, APEX 46mm, APEX Pro
    • VERTIX 1

Ta sécurité est notre priorité, et on agit vite pour résoudre ça tout en gardant ton expérience la plus fluide possible.

 

Liste complète des détails CVE :

CVE-2025-32875

Problème : Authentification insuffisante lors de l’appairage Bluetooth pouvant permettre à des appareils non autorisés d’initier une connexion lors de la configuration initiale.

CVE-2025-32876

Problème : Faiblesse dans le processus de chiffrement utilisé lors des échanges Bluetooth dans certains environnements Android.

CVE-2025-32877

Problème : Dans certains scénarios, un appareil à proximité pouvait interférer avec les communications Bluetooth si les vérifications de signature étaient contournées.

CVE-2025-32878

Problème : Possibilité que des commandes de contrôle non vérifiées soient envoyées par des applications ou appareils non autorisés.

CVE-2025-32879

Problème : Certaines interfaces de contrôle exposées via Bluetooth pouvaient être accessibles sans validation de session appropriée.

CVE-2025-32880

Problème : Une vulnérabilité lors de la transmission du firmware via Bluetooth qui pourrait potentiellement permettre la manipulation de l’appareil.

CVE-2025-48705 & CVE-2025-48706

Problème : Possibilité que des commandes de contrôle envoyées via Bluetooth contournent les vérifications d’authentification sur certaines versions Android.

Informations supplémentaires

CVE-2025-32878, CVE-2025-32880 

PACE 2, APEX Pro, VERTIX, Decathlon GPS500, Decathlon GPS900, APEX 42mm, APEX 46mm n’ont pas de capacité Wi-Fi et ne nécessitent pas de traitement.
 
Cet article vous a-t-il été utile ?
Utilisateurs qui ont trouvé cela utile : 50 sur 65