.png){kind=logo}
3 weeks ago
La brèche, découverte par les équipes de «hackers éthiques» de l’entreprise française de portefeuilles de cryptomonnaies Ledger, provient d’un modèle de puce auquel de nombreuses marques ont recours.
Passer la publicité Passer la publicitéLes appareils concernés se compteraient en millions. Smartphones Samsung, Xiaomi, Oppo, ou encore téléviseurs Sony, Hisense ou Phillips : tous ces équipements sont potentiellement exposés à une faille de sécurité, susceptible de mettre en péril les données de leurs utilisateurs. La brèche provient d’un modèle de puce conçu par la société taïwanaise MediaTek, auquel de nombreuses marques ont recours pour le fonctionnement de leur système. Une découverte fortuite mais majeure, faite par les équipes de cybersécurité de l’entreprise française Ledger. Un quart des smartphones Android en circulation dans le monde pourraient être concernés.
Les «hackers éthiques» du spécialiste tricolore des cryptomonnaies, qui conduisent régulièrement des «tests» visant à analyser la sécurité de différents équipements ou infrastructures numériques, examinaient la mémoire flash d’Android, avant de détecter le défaut de sécurité de la puce MediaTek. Lors du démarrage du téléphone - une phase pilotée par cette puce -, les équipes du «Donjon» de Ledger, le laboratoire de la licorne française, sont parvenues à enjamber les vérifications usuelles de sécurité et pénétrer dans l’appareil. Elles ont «contourné la sécurité fondamentale du téléphone en moins de 45 secondes», a expliqué sur X Charles Guillemet, responsable de la sécurité chez Ledger.
Dès lors, elles pouvaient accéder à certaines données telles que le code PIN, les messages et les photos. S’agissant des données bancaires, une barrière de sécurité supplémentaire s’interposait, mais pouvait être aisément franchie. Une fois détectée, la découverte de la faille a été communiquée par les équipes de Ledger à celles de MediaTek : «Comme toujours, Ledger Donjon a suivi un processus de divulgation responsable strict avec les fournisseurs concernés, ce qui a permis la publication de correctifs de sécurité», a déclaré sur X Charles Guillemet.
Des barrières de sécurité insuffisantes
Le 5 janvier dernier, MediaTek a ainsi envoyé une mise à jour de sécurité aux fabricants d’appareils pour corriger la faille. Reste que, dans l’écosystème fragmenté des smartphones, il est peu probable que la vulnérabilité disparaisse des millions d’appareils concernés.
Pour Charles Guillemet, la découverte de Ledger est une nouvelle preuve de l’insuffisance des barrières de sécurité protégeant les données personnelles sur les smartphones. «Cela nous rappelle une fois de plus que les smartphones ne sont pas conçus pour la sécurité. Même lorsqu’ils sont éteints, les données des utilisateurs, y compris les codes PIN et les clés peuvent être extraites en moins d’une minute», a avancé l’expert en cybersécurité sur X, en ajoutant que Ledger avait recours à ces tests «non pas pour semer la peur mais pour que l’industrie puisse corriger la vulnérabilité avant que des attaquants n’en tirent parti».
Tentatives d’ingérences étrangères, exfiltration d’informations confidentielles et personnelles, demandes de rançon… Les vols de données se sont imposés ces dernières années comme une menace sécuritaire majeure. En 2025, 1366 attaques informatiques ont été traitées par l’Agence nationale de la sécurité des systèmes d’information (ANSSI).
English (United States) · 
French (France) ·