Un câble USB, un ordinateur portable, et 45 secondes. C'est tout ce qu'il a fallu aux hackers éthiques de Ledger pour extraire le code PIN, déchiffrer le stockage et vider plusieurs portefeuilles crypto d'un Nothing CMF Phone 1, alors qu’il était éteint. La faille qu'ils ont découverte touche environ un quart des smartphones Android dans le monde.
Les puces MediaTek en cause
La vulnérabilité concerne les appareils Android qui combine une puce MediaTek et un environnement d'exécution sécurisé (TEE) de Trustonic. Le TEE, c'est une zone isolée du processeur censée protéger les opérations sensibles (vérification du PIN, gestion des clés crypto).
Mais en pratique, brancher le smartphone en USB suffit à alimenter la puce MediaTek, même lorsque le téléphone est éteint. C’est à ce moment là que le hacker peut agir, avant que le téléphone ne finisse de démarrer, pour contourner les protections et accéder à tout : code PIN, photos, messages, clés de récupération crypto.
Inquiétant ? Oui, surtout que les marques concernées sont nombreuses : Samsung (gamme Galaxy A et tablettes), Xiaomi, Oppo, Motorola, Honor, Realme, HTC, Nothing. La faille touche aussi des des téléviseurs et tablettes Sony, TCL, Hisense ou Philips.
Pour pallier à la faille, MediaTek a transmis un patch aux fabricants dès le 5 janvier 2026. La vulnérabilité n'a été rendue publique que le 2 mars, ce qui a laissé deux mois aux constructeurs pour intégrer la mise à jour.
Que faire concrètement si je suis concerné ?
Votre téléphone tourne sur une puce MediaTek ? Vous n’avez pas fait vos mises à jour depuis longtemps ? C’est le bon moment pour vérifier tout ça.
Pour le reste, pas de panique. La faille ne se déclenche pas à distance et le hacker doit avoir un un accès physique à votre téléphone. Évitez les stations de charge publiques, par précaution. La vigilance est de mise également en cas de contrôle judiciaire, contrôle de douane, perte de téléphone…
Autre point à ne pas négliger : les smartphones en fin de support. Les modèles qui ne reçoivent plus de mises à jour de sécurité ne verront probablement jamais le patch arriver. Donc, si votre téléphone a plus de quatre ou cinq ans, c'est une raison supplémentaire d'envisager son remplacement. Et si vous stockez des crypto sur votre mobile, c’est une raison de plus pour migrer vers un wallet hardware.
