L’écosystème Android repose sur une grande diversité de composants matériels et logiciels. Cette fragmentation permet d’innover rapidement, mais elle expose parfois les appareils à des vulnérabilités difficiles à détecter, et c’est précisément ce que vient de mettre en lumière le laboratoire de cybersécurité de Ledger.

Le Ledger Donjon, une équipe de hackers éthiques de la licorne française spécialisée dans les portefeuilles crypto-monnaies, a identifié une faille qui permet de compromettre des smartphones Android en moins d’une minute.

Une vulnérabilité qui touche des appareils équipés de puces MediaTek et pourrait concerner jusqu’à un quart des smartphones Android dans le monde

Une faille qui permet d’accéder aux données même téléphone éteint

La vulnérabilité a été découverte lors de recherches menées sur le chiffrement de la mémoire flash d’Android. En remontant la chaîne de sécurité, les chercheurs ont identifié un problème situé dans la chaîne de démarrage sécurisé des processeurs MediaTek, au niveau de la Boot ROM.

Concrètement, un attaquant disposant d’un accès physique au téléphone peut connecter l’appareil à un ordinateur via un simple câble USB. Dans une démonstration réalisée au siège de Ledger à Paris, les chercheurs ont réussi à compromettre un smartphone en 45 secondes seulement, sans même l’allumer.

Une fois l’attaque réalisée, plusieurs éléments sensibles deviennent accessibles, dont le code PIN du téléphone, les messages et photos, le stockage chiffré de l’appareil, ou encore les clés associées à certains portefeuilles crypto-monnaies.

Les chercheurs ont notamment réussi à extraire les « seed phrases » de plusieurs wallets populaires, dont Trust Wallet, Phantom, Kraken Wallet, Rabby ou Tangem Mobile Wallet. Ces suites de mots servent de clé de récupération pour les portefeuilles et permettent, dans de nombreux cas, de prendre le contrôle des actifs numériques.

Un correctif déjà disponible… mais pas encore partout

Après avoir identifié la vulnérabilité, Ledger a appliqué une procédure classique de divulgation responsable. L’entreprise a prévenu MediaTek et Trustonic, leur laissant 90 jours pour développer un correctif avant toute communication publique.

Ainsi, MediaTek a fourni un patch aux fabricants de smartphones le 5 janvier 2026, afin qu’ils puissent l’intégrer dans leurs mises à jour de sécurité. La faille, référencée sous le nom CVE-2025-20435, n’a été rendue publique que le 2 mars 2026, afin de laisser une fenêtre aux constructeurs pour corriger leurs appareils.

Néanmoins, ces mises à jour impliquent d’être déployées par les fabricants, puis installées par les utilisateurs. Malheureusement, certains smartphones pourraient donc rester vulnérables si les correctifs tardent à arriver ou si les mises à jour ne sont pas appliquées…

Des smartphones inadaptés pour des usages&nbsp?

Cette découverte relance également un débat plus large autour de l’utilisation des smartphones pour stocker des informations sensibles, notamment des clés cryptographiques.

Dans un post sur LinkedIn, Charles Guillemet, directeur technique de Ledger, rappelle que les téléphones ne sont pas pensés comme des coffres-forts numériques. Selon lui, leur architecture complexe multiplie les surfaces d’attaque, du firmware aux composants matériels.

Pour les utilisateurs, la première mesure consiste à installer les dernières mises à jour de sécurité Android. Mais pour la protection de clés cryptographiques ou d’actifs numériques, les spécialistes recommandent toujours l’utilisation d’équipements dédiés, comme les « hard wallets« .