Une équipe de chercheurs des universités de Californie, de Washington et de Carnegie Mellon a dévoilé une faille inquiétante qui remet en question la sécurité de la double authentification sur Android. Leur découverte, baptisée Pixnapping, exploite une faiblesse du système graphique pour espionner ce qui s’affiche à l’écran… sans même avoir besoin d’autorisations spéciales.
Testée sur plusieurs modèles récents, dont les Google Pixel 6 à 9 et les Samsung Galaxy S25, l’attaque fonctionne sur Android 13 à 16. Elle est désormais répertoriée sous le numéro CVE-2025-48561, preuve que Google prend la menace très au sérieux.
Lire aussi : Qantas victime d’une cyberattaque: la faille qui secoue l’aviation mondiale
Comment une application peut “photographier” votre écran sans caméra
Pixnapping repose sur une idée aussi simple qu’ingénieuse. Une application malveillante, installée à l’insu de l’utilisateur, peut surveiller les variations de pixels affichés sur l’écran grâce à certaines APIs graphiques utilisées pour le floutage ou la synchronisation visuelle.
En mesurant des décalages de temps infimes dans le rendu de ces pixels, l’application parvient à reconstituer ce qui s’affiche à l’écran, notamment les codes temporaires à six chiffres générés par les applications d’authentification comme Google Authenticator ou Microsoft Authenticator.
Les chercheurs ont démontré qu’en moins de 30 secondes, Pixnapping pouvait déchiffrer un code à usage unique ou même lire le contenu d’applications sensibles comme Signal, Gmail ou Venmo.
Google tente de réagir, mais le correctif reste contournable
Un premier correctif a été introduit par Google dans le patch de sécurité de septembre 2025, limitant l’accès à certaines fonctions de floutage d’écran. Mais selon les chercheurs, cette solution partielle n’empêche pas totalement l’attaque : une méthode de contournement a rapidement été trouvée.
Un nouveau correctif plus complet est prévu dans le bulletin de sécurité Android du mois de décembre 2025. En attendant, les utilisateurs restent vulnérables s’ils installent des applications non vérifiées ou provenant de sources externes au Play Store.
Pixnapping ne permet pas de dérober directement des mots de passe ou des clés de chiffrement stockées dans la mémoire du téléphone. Elle ne fait “que” lire ce qui est affiché à l’écran.
Mais cela suffit pour compromettre la double authentification, censée être la barrière la plus sûre après le mot de passe.
Cette découverte révèle surtout les limites du modèle de sécurité d’Android, où certaines interactions graphiques restent accessibles à toutes les applications, même sans permission spéciale.
Comment se protéger dès maintenant
En attendant le correctif de décembre, voici quelques précautions simples :
- Mettre à jour régulièrement son appareil Android.
- Éviter d’installer des applications en dehors du Play Store.
- Limiter le temps d’affichage des codes 2FA sur l’écran.
- Utiliser des clés de sécurité physiques (YubiKey, Titan Key) ou les passkeys, de plus en plus adoptées par Google et d’autres services.
Pixnapping rappelle que la sécurité mobile ne se résume pas à la seule double authentification. Elle dépend aussi de la profondeur de l’isolation entre les applications et du contrôle des API utilisées par le système.
Google a promis de renforcer la protection des zones d’affichage sensibles, mais la découverte des chercheurs américains montre qu’il reste encore du chemin avant que nos smartphones soient véritablement à l’abri des regards… invisibles.
