Votre écran de verrouillage est censé être votre dernière ligne de sécurité. En cas de perte ou de vol de votre appareil, votre code PIN ou mot de passe doit empêcher les étrangers d’accéder à vos photos, messages et applications financières. Cependant, des chercheurs ont découvert une faille sérieuse pouvant contourner ces protections sur certains smartphones Android en moins d’une minute.
Une fois exploitée, cette vulnérabilité permet aux attaquants de récupérer le code PIN de votre téléphone, de déverrouiller le stockage chiffré et d’extraire des données sensibles, comme les phrases de récupération de portefeuilles de cryptomonnaie. Selon les estimations des chercheurs, environ un smartphone Android sur quatre pourrait être concerné, notamment les modèles d’entrée de gamme.
La faille de hacking des Android
Une vulnérabilité récemment révélée, référencée comme CVE-2026-20435 dans la base de données sur les vulnérabilités, concerne certains téléphones Android équipés de puces MediaTek. Ces appareils utilisent un composant de sécurité appelé « Trusted Execution Environment » (TEE), prévu pour protéger les données sensibles, comme les clés de chiffrement.
Ce système est conçu pour conserver les clés cryptographiques et sécuriser votre appareil, mais des analyses de sécurité montrent qu’il pourrait être contourné sur les appareils concernés.
Un attaquant avec un accès physique peut exploiter cette faille en connectant le téléphone à un ordinateur via un câble USB, altérant ainsi les données sensibles avant que les protections de sécurité complètes ne soient mises en place. Cela revient à accéder à la clé maîtresse avant même que la porte du coffre-fort ne se referme.
Dans le pire des cas, cet accès peut permettre aux attaquants d’extraire des informations très sensibles, y compris des photos personnelles, mots de passe, messages privés, données financières et identifiants de portefeuilles crypto. Si les phrases de récupération pour ces portefeuilles sont exposées, les attaquants pourraient vider les fonds définitivement.
Que font les fabricants d’Android à ce sujet
Les actions que peuvent entreprendre les fabricants sont limitées, car le problème provient du niveau du processeur, fabriqué par MediaTek. Ce dernier annonce avoir publié un correctif, mais sa distribution dépend des fabricants de téléphones, ce qui signifie que la mise à jour peut arriver rapidement ou pas du tout, selon le modèle et son support.
Heureusement, cette attaque nécessite un accès physique au téléphone et une connexion USB, ce qui signifie qu’elle ne peut pas être réalisée à distance. Cependant, en cas de vol, de confiscation temporaire ou pendant une réparation, des informations sensibles peuvent être extraites.
Pour savoir si votre appareil est concerné, vous pouvez consulter des plateformes comme GSMArena ou le site de votre fabricant pour identifier le SoC utilisé sur votre téléphone, puis vérifier la liste publiée par MediaTek relative à CVE-2026-20435.
Comment savoir si votre téléphone est concerné
Voici comment vérifier si votre téléphone est vulnérable :
1) Trouvez le modèle de votre téléphone
Allez dans <strong>Paramètres</strong> > <strong>À propos du téléphone</strong> et notez le nom exact de votre modèle.
2) Vérifiez votre processeur (puce)
Recherchez le <strong>modèle de votre téléphone</strong> sur un site comme GSMArena ou celui de votre fabricant pour trouver la puce (SoC).
3) Assurez-vous qu’il utilise MediaTek
Si votre téléphone utilise une <strong>puce MediaTek</strong>, il pourrait être affecté. Les appareils utilisant des puces Qualcomm Snapdragon ou Google Tensor ne sont pas concernés.
4) Installez immédiatement les dernières mises à jour de sécurité
Vérifiez les paramètres de mise à jour système de votre téléphone et installez toutes les mises à jour disponibles. MediaTek a déjà mis en place un correctif, mais les fabricants de téléphones doivent le distribuer.
Points à retenir
- Environ 25 % des smartphones Android pourraient être vulnérables.
- La faille nécessite un accès physique à l’appareil.
- Les mises à jour de sécurité dépendent des fabricants de téléphones.
- La puce MediaTek est impliquée dans cette vulnérabilité.
- Les mises à jour rapides sont essentielles pour sécuriser votre appareil.
Cette situation met en lumière un problème plus vaste au sein de l’écosystème Android. Même lorsque des solutions sont mises au point, la responsabilité de la sécurité demeure souvent entre les mains des fabricants, qui peuvent négliger la mise à jour de leurs équipements, surtout pour les modèles moins chers. Cela nous pousse à nous demander si les fabricants devraient être tenus de garantir des mises à jour sur plusieurs années, surtout lorsque des vulnérabilités critiques sont en jeu. Qu’en pensez-vous ?