Publié le 17 mars 2026 à 00h00 par La rédaction

Une faille majeure permet de pirater certains smartphones Android en moins d'une minute

Une vulnérabilité majeure touchant certains smartphones Android vient d’être mise au jour par les chercheurs en cybersécurité du laboratoire Donjon, l’équipe d’experts de l’entreprise française Ledger. Cette faille, particulièrement préoccupante, permettrait à un attaquant disposant d’un accès physique à un téléphone de compromettre l’appareil en moins d’une minute, y compris lorsqu’il est éteint.

La vulnérabilité concerne des terminaux équipés de processeurs conçus par MediaTek et utilisant un environnement sécurisé fourni par Trustonic. Selon les chercheurs, ce type d’architecture équipe environ un quart des smartphones Android actuellement en circulation dans le monde, ce qui donne une idée de l’ampleur potentielle du problème.

Une démonstration en moins d’une minute

La découverte est issue de travaux menés au sein du Donjon, le laboratoire de recherche en sécurité matérielle de Ledger, installé au siège parisien de l’entreprise. Les chercheurs y analysent en permanence les systèmes informatiques afin d’identifier d’éventuelles failles exploitables par des cybercriminels.

Dans le cadre d’une démonstration technique, l’équipe a utilisé un smartphone Nothing CMF Phone 1, lancé en 2024 par la marque Nothing. En connectant simplement l’appareil à un ordinateur portable via un câble USB, les spécialistes sont parvenus à compromettre son système de sécurité en seulement 45 secondes.

L’attaque fonctionne avant même que le système d’exploitation Android ne démarre. En exploitant une faiblesse dans la chaîne de démarrage sécurisée du processeur, les chercheurs ont pu récupérer certaines clés cryptographiques fondamentales. Une fois ces éléments obtenus, il devient possible de contourner le chiffrement du téléphone et d’accéder à son contenu.

Des données particulièrement sensibles exposées

Lors de leurs tests, les experts du Donjon ont pu extraire un large éventail d’informations confidentielles stockées sur l’appareil. Parmi les données récupérées figurent notamment le code PIN du téléphone, les contenus présents dans la mémoire interne, mais aussi des informations liées à des portefeuilles de cryptomonnaies.

Les chercheurs ont ainsi réussi à récupérer les « seed phrases », ces suites de mots servant de clé de récupération pour les portefeuilles numériques. Une fois ces phrases obtenues, un attaquant peut potentiellement reprendre le contrôle des actifs associés.

Plusieurs applications populaires ont été concernées lors de la démonstration, notamment Trust Wallet, Kraken Wallet, Phantom Wallet, Rabby Wallet ou encore Tangem Mobile Wallet.

Outre les données liées aux cryptomonnaies, l’attaque permet également d’accéder à d’autres informations sensibles, comme les messages, les photos, les identifiants matériels du téléphone ou certaines clés de chiffrement utilisées par le système.

Une faille située au cœur du démarrage du téléphone

Techniquement, la vulnérabilité se situe dans un composant logiciel appelé « preloader », qui intervient très tôt dans le processus d’initialisation du smartphone. Ce programme s’exécute avant même le lancement d’Android et prépare les différents composants matériels.

Les chercheurs ont découvert que ce module ne vérifiait pas correctement l’identité de l’entité demandant l’accès à certaines informations critiques de l’appareil. Résultat : un outil connecté en USB peut récupérer ces identifiants sans authentification préalable.

Cette particularité rend la faille particulièrement difficile à contrer côté utilisateur. Les protections habituelles du téléphone, comme le code PIN, le schéma de déverrouillage ou l’empreinte digitale, ne sont tout simplement pas encore actives à ce stade du démarrage.

La vulnérabilité a été enregistrée sous l’identifiant CVE-2026-20435 et classée comme critique par les chercheurs.

Un correctif déjà transmis aux fabricants

Conformément aux pratiques de divulgation responsable, Ledger a averti les entreprises concernées avant toute communication publique. Les chercheurs ont ainsi transmis leurs conclusions à MediaTek et à Trustonic afin qu’un correctif puisse être développé.

MediaTek indique avoir fourni un patch de sécurité aux fabricants de smartphones le 5 janvier 2026. La vulnérabilité n’a été rendue publique que le 2 mars, afin de laisser aux constructeurs le temps d’intégrer ce correctif dans leurs mises à jour logicielles.

Toutefois, comme souvent dans l’écosystème Android, la diffusion effective de ces correctifs dépend ensuite des fabricants et des opérateurs, ce qui peut entraîner des délais variables selon les modèles.

Les limites du smartphone comme coffre-fort numérique

Pour Charles Guillemet, directeur technique de Ledger, cette découverte rappelle une réalité souvent évoquée par les spécialistes de la sécurité : les smartphones ne sont pas conçus pour servir de coffres-forts numériques.

Selon lui, l’architecture complexe des téléphones modernes multiplie les surfaces d’attaque, depuis les composants matériels jusqu’aux couches logicielles. Même si les correctifs permettent de résoudre une faille précise, d’autres vulnérabilités peuvent apparaître ailleurs dans le système.

Certains appareils adoptent néanmoins une approche plus cloisonnée pour protéger les informations sensibles. Les smartphones de Apple utilisent par exemple une enclave sécurisée dédiée, tandis que les modèles de Google intègrent une puce de sécurité Titan. Ces composants isolent physiquement certaines données critiques du reste du système, ce qui complique considérablement les attaques directes sur l’appareil.

Mettre à jour son smartphone reste la meilleure protection

Dans l’immédiat, la principale recommandation pour les utilisateurs consiste à vérifier la disponibilité des dernières mises à jour de sécurité Android et à les installer dès que possible. Les appareils ayant reçu le correctif fourni par MediaTek ne devraient plus être vulnérables à cette attaque spécifique.

Cette affaire illustre néanmoins les défis permanents de la sécurité dans un écosystème aussi vaste et fragmenté qu’Android. Elle rappelle également l’importance d’adopter des pratiques de protection adaptées, notamment lorsqu’il s’agit de stocker des données sensibles ou des clés cryptographiques sur un smartphone.

~~~~~~~~

Guides & Comparatifs France Mobiles