● 01net 📅 21/03/2026 à 09:07

Cybersécurité 👤 Florian Bayard

🏷️ Tags : cert pto rag rte rust stoc

© Georgiy Lyamin (Unsplash) Une faille critique touchant des puces MediaTek a été débusquée par les chercheur de Ledger. La vulnérabilité concerne 25 % des smartphones Android en circulation dans le monde. Elle permet de piller en quelques secondes les données, y compris les cryptomonnaies, d’un téléphone… même si celui-ci est éteint. Ledger souligne qu’un smartphone ne doit en aucun cas être considéré comme un coffre-fort inviolable. Le Ledger Donjon, le laboratoire dédié à la cybersécurité de la licorne Ledger, vient de découvrir une vulnérabilité critique dans les processeurs MediaTek. Cette faille de sécurité affecte potentiellement 25% des smartphones Android dans le monde. Les puces MediaTek touchées se retrouvent en effet dans de nombreux téléphones populaires, dont le Nothing CMF Phone 1. Des dizaines de marques sont concernées, dont Xiaomi, Oppo, ou encore Nokia. Seuls les composants qui sont accompagnés du TEE (Trusted Execution Environment) de Trustonic, une zone d’exécution sécurisée et isolée à l’intérieur du processeur principal d’un appareil, sont affectés. À lire aussi : Une faille touche plus de 200 puces Qualcomm – votre smartphone Android est peut-être en danger Un pillage de données complet en moins d’une minute Exploitée par un pirate, la vulnérabilité permet de compromettre un téléphone éteint en moins d’une minute. Un attaquant peut voler toutes vos données sensibles, comme vos photos, vos messages, vos codes PIN, et même vos cryptomonnaies, sans devoir allumer l’appareil. Dans le cadre de leurs investigations, les chercheurs ont branché un Nothing CMF Phone 1, muni d’une puce MediaTek Dimensity 7300, à un ordinateur portable par le biais d’un simple câble USB. En 45 secondes, l’attaque a permis de récupérer automatiquement le code PIN du téléphone, les données chiffrées du stockage interne et les clés privées de plusieurs apps crypto, comme Trust Wallet, Kraken Wallet, Phantom, Rabby, Tangem et Base. Avec ces clés, il est possible de siphonner le contenu d’un portefeuille sur la blockchain. Le déroulement de l’attaque Comme l’expliquent les chercheurs de Ledger, la faille se situe dans ce qu’on appelle la chaîne de démarrage sécurisé d’Android, Secure Boot Chain en anglais. C’est l’un des mécanismes de sécurité les plus fondamentaux d’un smartphone. Avant même qu’Android se lance, le téléphone effectue des vérifications internes, notamment au sujet du noyau. Le système Android complet se lance uniquement quand toutes les vérifications ont été réalisées. À chaque étape, le composant précédent certifie que le suivant est authentique et n’a pas été modifié. C’est à ce moment-là que l’attaquant s’infiltre dans le smartphone via le port USB. Il peut alors extraire les clés cryptographiques qui protègent tout le chiffrement du téléphone. Une fois ces clés obtenues, le stockage du téléphone peut être décrypté hors ligne, et le PIN forcé en quelques secondes par le biais d’une attaque par force brute. Toutes les données des applications deviennent lisibles, sans déclencher aucune alerte de sécurité. Notez que ce type de vulnérabilité est exclusivement cantonné aux puces MediaTek. Les smartphones Android animés par une puce Snapdragon de Qualcomm, les Google Pixel et les iPhone disposent quant à eux d’une puce de sécurité dédiée, ce qui est bien plus complexe à pirater que le TEE (Trusted Execution Environment) de Trustonic. Un smartphone n’est pas un coffre-fort Charles Guillemet, directeur technique chez Ledger, estime que la faille illustre le fait que « les smartphones ne sont pas conçus pour la sécurité ». Ce ne sont pas des « coffres-forts ». Selon lui, il y a « une différence fondamentale entre les puces généralistes », qui sont « pensées pour la commodité », tandis que « les éléments sécurisés sont conçus pour protéger les données sensibles ». We undertake this work not to create fear, but so the industry can fix the vulnerability before attackers take advantage. That’s how the ecosystem becomes stronger. More details soon. pic.twitter.com/MC76IcDp7i — Charles Guillemet (@P3b7_) March 11, 2026 Contrairement à un outil comme les clés Ledger, les smartphones et leurs puces sont d’abord pensés pour être pratiques et faciles à utiliser. C’est pourquoi Ledger recommande, fort logiquement, de ne pas stocker de clés privées offrant un accès à des cryptos directement sur un smartphone. « Si vos cryptos sont stockées sur un téléphone, leur sécurité dépend du maillon le plus faible du hardware, du firmware ou du software de ce téléphone », déclare Charles Guillemet, soulignant que la faille « illustre la difficulté de stocker des secrets sur des appareils non sécurisés ». Comme l’explique l’équipe Donjon dans son rapport détaillé, « les smartphones, en particulier, sont souvent perdus ou volés ». En tant qu’utilisateurs, « leur confier nos données revient donc à parier qu’un attaquant qui a un accès physique à notre téléphone, mais ne connaît pas notre secret d’authentification, ne pourra pas récupérer ce qu’il contient », soulignent les chercheurs. À lire aussi : Google révèle qu’un milliard de smartphones Android sont vulnérables aux cyberattaques L’importance d’un smartphone à jour Pour « permettre au secteur de corriger cette vulnérabilité avant que des attaquants n’en profitent », Ledger a prévenu MediaTek et Trustonic de sa découverte. Le 5 janvier 2026, MediaTek a mis à disposition de tous les constructeurs un correctif pour colmater la brèche. Il faut maintenant attendre que tous les fabricants déploient la mise à jour sur leurs appareils. Pour vous protéger, prenez soin d’installer les dernières mises à jour disponibles sur votre smartphone. 👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp. faille critiquefaille de sécuritéLedgermediatekpuces Florian Bayard Sur le même sujet 270 millions d’iPhone en danger : un site web piégé permet de siphonner vos données en quelques minutes Microsoft découvre 3 failles critiques dans Windows, installez la mise à jour Chrome est en danger : ces 3 failles critiques obligent Google à déployer une mise à jour d’urgence Alerte OpenClaw : des gangs de hackers prennent d’assaut les serveurs Meilleur antivirus 2026 : quel est le meilleur choix ? Quel est le meilleur VPN ? Comparatif des meilleurs stockages cloud en 2026 : lequel choisir ? Comment accéder au Dark Web ? Tutoriel 3 étapes Meilleur gestionnaire de mots de passe 2026, le comparatif Meilleur VPN gratuit : 7 services à choisir + 2 à fuir Les dernières actualités 25 % des smartphones Android en danger : une faille critique a été découverte dans des puces MediaTek GoPro est KO, la Insta360 X5 à 360° en 8K vient d’une autre planète et son prix est fou 😱 Désolé si vous avez déjà acheté le Xiaomi 15 : il est à -55% 😱 DJI sacrifie le prix du Mini 5 Pro, la Rolls des drones se vend à la pelle Test HP Omnibook 5 NGAI 16″ : un PC portable fin et léger qui mise tout sur l’autonomie Cette TV HD de 32″ coûte 86€ et tue la concurrence, Samsung et LG sont KO Après la rupture éclair, AMD remet du stock de CPU Ryzen 7 9700X à -50% Microsoft a eu une illumination : Windows 11 va enfin intégrer ce que les utilisateurs réclament depuis des années Les tests à la une AirPods Pro 3 Google Pixel 9a Google Pixel 10 Google Pixel 10 Pro XL iPhone 17 iPhone 17 Pro iPhone 16e Samsung Galaxy S25 Samsung Galaxy S25 Ultra Samsung Galaxy A56 Samsung Galaxy A26 Samsung Galaxy A17 Starlink Xiaomi Redmi Note 14 4G Xiaomi Redmi Note 14 Pro Xiaomi 15T Pro

🔗 Lire l'article original 👁️ 1 lecture