Mobilité détournée : comment des hackers ont pris le contrôle à distance des fauteuils roulants WHILL

Sous-titre : Une faille critique du Bluetooth permet à des attaquants de prendre le contrôle de fauteuils roulants high-tech - posant de graves risques pour la sécurité des utilisateurs dans le monde entier.

Lors d’un récent hackathon en cybersécurité, une équipe de chercheurs a accompli ce qui semblait autrefois impossible : avec seulement un clavier et une manette de jeu, ils ont pris le contrôle du fauteuil roulant électrique d’un inconnu. Cette démonstration n’était pas un tour de magie, mais une révélation inquiétante sur les vulnérabilités qui se cachent dans nos technologies d’assistance les plus fiables. Pour les utilisateurs des fauteuils roulants connectés et élégants de WHILL - souvent présentés comme un gage d’indépendance - cette découverte révèle une nouvelle menace glaçante : leur mobilité, et même leur sécurité, peuvent être détournées en quelques secondes par un hacker à proximité.

En bref

Les chercheurs ont découvert une faille critique d’authentification Bluetooth dans les fauteuils roulants WHILL Model C2 et Model F.
La vulnérabilité (CVE-2025-14346) permet à des attaquants situés dans la portée Bluetooth de contrôler à distance le fauteuil roulant sans mot de passe ni interaction de l’utilisateur.
L’exploitation permet aux hackers de désactiver les fonctions de sécurité, de modifier les configurations et même de conduire le fauteuil de manière dangereuse - par exemple, dans des escaliers.
WHILL a publié un correctif fin décembre 2025, mais les chercheurs n’ont pas pu vérifier son efficacité.
La faille met en lumière des risques plus larges liés aux dispositifs médicaux “intelligents” dépourvus de contrôles de sécurité robustes.

La vulnérabilité, référencée sous CVE-2025-14346, a été découverte par QED Secure Solutions, une société de cybersécurité spécialisée dans la révélation de menaces réelles visant les objets connectés. Leur dernière cible : les modèles C2 et F de WHILL, des fauteuils roulants électriques high-tech populaires dans les cliniques, les aéroports et les foyers du monde entier. Le problème ? Une absence totale d’authentification pour les connexions Bluetooth. Toute personne à portée pouvait discrètement appairer son appareil avec un fauteuil roulant et en prendre le contrôle total - sans mot de passe, sans autorisation, sans alerte.

L’équipe de QED n’a pas seulement prouvé la faille en théorie. Dans un environnement contrôlé, ils ont manœuvré un fauteuil roulant à distance, désactivé ses fonctions de sécurité et même scénarisé une démonstration où l’appareil était lancé à grande vitesse dans un escalier. Si ces cascades semblent spectaculaires, les conséquences pour les utilisateurs réels sont graves : un attaquant pourrait outrepasser les limites de vitesse, modifier les profils de contrôle ou simplement rendre le fauteuil inutilisable - tandis que l’utilisateur reste impuissant à bord.

Ce qui rend la situation encore plus préoccupante, c’est la confiance réglementaire généralisée envers ces dispositifs. Les produits WHILL sont homologués par la FDA, mais comme le souligne Billy Rios de QED, les agences gouvernementales ignorent peut-être que des protections de base comme une authentification forte, le chiffrement ou la vérification d’intégrité du firmware font défaut. La vulnérabilité a été découverte lors d’un hackathon “pour s’amuser” - ce qui soulève une question dérangeante : si des chercheurs bienveillants y parviennent aussi facilement, qu’en serait-il pour des criminels ?

WHILL a réagi en publiant un correctif de sécurité et des mesures d’atténuation en décembre 2025. Cependant, les chercheurs n’ont pas reçu la mise à jour et ne peuvent pas confirmer si elle résout pleinement les risques. Il n’est pas non plus clair si les utilisateurs doivent mettre à jour manuellement leur fauteuil roulant - un point faible fréquent dans la sécurité des dispositifs médicaux “intelligents”.

Cet épisode fait office de signal d’alarme. À mesure que nos technologies les plus personnelles deviennent de plus en plus connectées, les enjeux de l’insécurité numérique ne cessent de croître. Pour les utilisateurs de fauteuils roulants, la promesse de liberté et d’autonomie ne doit pas se faire au prix de vulnérabilités invisibles et potentiellement mortelles.

WIKICROOK

Bluetooth : Le Bluetooth est une technologie sans fil qui permet à des appareils comme des écouteurs, des enceintes et des ordinateurs de se connecter et de communiquer sans câbles.
Authentification : L’authentification est le processus de vérification de l’identité d’un utilisateur avant de lui accorder l’accès à des systèmes ou des données, à l’aide de méthodes comme les mots de passe ou la biométrie.
Firmware : Le firmware est un logiciel spécialisé stocké dans des appareils matériels, qui gère leurs opérations de base et leur sécurité, et leur permet de fonctionner correctement.
CVE (Common Vulnerabilities and Exposures) : Un CVE est un identifiant public unique pour une vulnérabilité de sécurité spécifique, permettant un suivi et une discussion cohérents dans l’industrie de la cybersécurité.
Atténuation : L’atténuation est le processus de détection et d’arrêt des cyberattaques avant qu’elles ne causent des dommages, en utilisant des mesures techniques et organisationnelles.