Cybersécurité : le laboratoire de Ledger découvre une faille critique qui expose un quart des smartphones Android

Le «Donjon» de Ledger, hacker lab de la licorne française, a identifié une vulnérabilité critique qui permet de compromettre un téléphone Android éteint en moins d’une minute. L'alerte a été donnée à MediaTek, qui a fourni un correctif aux fabricants concernés.

Temps de lecture : 3 minutes

Si vous avez un smartphone tournant sous Android, vous seriez bien inspiré d’effectuer la toute dernière mise à jour. Et pour cause, votre appareil a peut-être été exposé à une vulnérabilité majeure permettant à des personnes malintentionnées de piocher dans vos données les plus personnelles.

Cette faille a été détectée par le «Donjon» de Ledger, le hacker lab de la licorne française pour déceler les moindres failles susceptibles d’aiguiser l’appétit des cybercriminels. Selon la structure de l’entreprise tricolore, cette vulnérabilité critique permet de compromettre un téléphone Android éteint en moins d’une minute, exposant ainsi des données sensibles qu’il contient comme le code PIN, les messages et les photos. Le «Donjon» précise que cette faille affecte les smartphones Android utilisant le TEE (Trusted Execution Environment) de Trustonic et des processeurs MediaTek, dont les puces équipent environ un quart des téléphones Android dans le monde.

Moins d’une minute pour compromettre un téléphone

Tout est parti d’un test de preuve de concept du «Donjon», laboratoire mystérieux et confidentiel au cœur du siège de Ledger, à Paris, que Maddyness a pu visiter en exclusivité. Dans ce cadre, les hackeurs éthiques de Ledger ont connecté un Nothing CMF Phone 1 à un ordinateur portable et il ne leur aura fallu que 45 secondes pour compromettre le processus de sécurité de l’appareil. Sans même allumer le téléphone, ils sont parvenus à récupérer automatiquement le code PIN de l’appareil, déchiffrer son stockage et extraire les «seed phrases» (suite de mots, souvent 12 ou 24, servant de clé de récupération) de plusieurs wallets, à l’image de Trust Wallet, Base, Kraken Wallet, Rabby, Tangem Mobile Wallet et Phantom.

Dans le détail, le «Donjon» indique avoir identifié la faille au niveau de la chaîne de démarrage sécurisé de MediaTek. Grâce à celle-ci, un cybercriminel a simplement besoin de se connecter par câble USB au téléphone, même si Android n’est pas encore lancé, pour extraire les clés cryptographiques racines qui protègent le chiffrement complet du disque Android. Une fois cette barrière de protection brisée, il devient alors facile d’accéder aux données de l’appareil (messages, photos, applications, code PIN…), y compris aux portefeuilles crypto qu’il pourrait contenir.

«Les smartphones n’ont jamais été conçus pour être des coffres-forts»

Ce qui ne devait être qu’une simple analyse de la sécurité du chiffrement de la mémoire flash au sein d’Android a finalement débouché sur une découverte majeure, portée rapidement à la connaissance de MediaTek et Trustonic. «Cette recherche confirme ce que nous avertissons depuis longtemps : les smartphones n’ont jamais été conçus pour être des coffres-forts. Bien que cette faille puisse être corrigée, et nous encourageons tous les utilisateurs à installer les dernières mises à jour de sécurité fournies par MediaTek et les fabricants de téléphones, cela illustre la difficulté de stocker des secrets sur des appareils non sécurisés», souligne Charles Guillemet, Chief Technology Officer de Ledger.

Au final, MediaTek a confirmé avoir fourni un correctif aux fabricants concernés le 5 janvier 2026. Pour laisser le temps aux utilisateurs de téléphones potentiellement concernés de mettre à jour leur appareil, la faille n’a été rendue publique que le 2 mars derniers, soit une fenêtre de deux mois pour rectifier le tir. Et si certains utilisateurs n’ont pas encore installé les dernières mises à jour, il est temps de le faire au plus vite pour éviter d’avoir une mauvaise surprise.