Faille critique MediaTek : vol de seed phrase en 45 secondes sur 25 % des smartphones Android

Par

📋 En bref (TL;DR)

  • Faille critique MediaTek : l’equipe Donjon de Ledger a identifie une vulnerabilite majeure (CVE-2026-20435) dans la chaine de demarrage securise des puces MediaTek
  • Extraction en 45 secondes : un attaquant avec un acces USB peut recuperer le code PIN et la seed phrase d’un wallet crypto en moins d’une minute
  • Methode d’attaque : des impulsions electromagnetiques perturbent la puce au demarrage, permettant de contourner les verifications de securite
  • Wallets compromis : le proof-of-concept a permis d’extraire des donnees depuis Trust Wallet, Kraken Wallet et Phantom
  • 25 % des smartphones Android : tous les appareils equipes d’une puce MediaTek associee au systeme securise Trustonic sont potentiellement vulnerables
  • Correctif disponible : MediaTek a transmis les patchs aux fabricants le 5 janvier 2026, les mises a jour logicielles sont en cours de deploiement

Votre smartphone Android pourrait trahir vos cryptomonnaies. Le 10 mars 2026, les chercheurs en securite de Ledger Donjon ont revele une faille critique dans les puces MediaTek, presentes dans un quart des telephones Android dans le monde. En exploitant cette vulnerabilite, un attaquant disposant d’un simple acces physique et d’un cable USB peut extraire le code PIN d’un appareil et la seed phrase d’un portefeuille crypto en seulement 45 secondes.

La decouverte, referencee sous le code CVE-2026-20435, met en lumiere une faiblesse structurelle dans la chaine de confiance materielle sur laquelle reposent des millions d’utilisateurs. Retour sur une faille qui pourrait changer la maniere dont les detenteurs de cryptomonnaies pensent la securite de leurs appareils.

Comment fonctionne la faille MediaTek

Pour comprendre cette vulnerabilite, il faut d’abord saisir le role de la chaine de demarrage securise (ou secure boot). Lorsqu’un smartphone s’allume, une serie de verifications garantit que chaque couche logicielle chargee est authentique et n’a pas ete modifiee. Ce mecanisme empeche normalement l’execution de code malveillant avant meme que le systeme d’exploitation ne demarre.

L’equipe Donjon de Ledger a decouvert qu’il est possible de perturber cette sequence en injectant des impulsions electromagnetiques ciblees sur la puce MediaTek au moment precis du demarrage. Ces perturbations physiques, appelees « voltage glitches », provoquent des erreurs controlees dans le processeur. Concretement, elles forcent la puce a sauter certaines instructions de verification de securite, comme si un gardien ouvrait la porte sans verifier l’identite du visiteur.

Une fois la chaine de demarrage compromise, l’attaquant obtient un acces privilegie a l’environnement d’execution securise (TEE) gere par Trustonic, un composant logiciel cense proteger les donnees les plus sensibles du telephone. Le code PIN de l’appareil, les cles de chiffrement et les seed phrases stockees par les applications de portefeuille deviennent alors accessibles.

L’ensemble de cette attaque ne necessite qu’un cable USB et un equipement specialise. Selon les chercheurs, l’extraction complete des donnees prend environ 45 secondes.

Les wallets mobiles directement menaces

Pour demontrer la gravite de la faille, l’equipe Donjon a realise un proof-of-concept sur trois portefeuilles mobiles parmi les plus utilises : Trust Wallet, Kraken Wallet et Phantom. Dans chaque cas, les chercheurs sont parvenus a extraire la seed phrase stockee sur l’appareil.

Pourquoi ces wallets sont-ils vulnerables ?

Les portefeuilles mobiles stockent la seed phrase dans une zone securisee du telephone, protegee par le TEE (Trusted Execution Environment). Ce mecanisme repose sur l’hypothese que le materiel sous-jacent est fiable. Or, la faille MediaTek brise precisement cette hypothese en compromettant la couche materielle elle-meme.

Il ne s’agit pas d’un bug logiciel qu’une mise a jour de l’application pourrait corriger. C’est une faiblesse dans le silicium et dans la maniere dont le processeur gere sa propre securite au demarrage. Les developpeurs de wallets n’ont aucun controle sur cette couche. Leur securite depend entierement de celle du materiel fourni par MediaTek et du logiciel securise fourni par Trustonic.

Les trois wallets testes ne sont pas les seuls concernes. Tout portefeuille crypto mobile qui delegue la protection de la seed phrase au TEE d’un appareil MediaTek/Trustonic est potentiellement expose. Cela inclut de nombreuses applications moins connues qui n’ont pas les ressources pour implementer des couches de protection supplementaires.

Un point important : l’attaque ne cible pas une faille dans le code des wallets eux-memes. Trust Wallet, Kraken Wallet et Phantom suivent les bonnes pratiques de securite logicielle. Le probleme se situe une couche en dessous, dans le materiel et le logiciel securise sur lesquels ces applications s’appuient. C’est ce qui rend cette vulnerabilite particulierement preoccupante : les developpeurs d’applications ne peuvent pas la corriger de leur cote.

Comment ne pas perdre de l’argent en crypto ?

Intéressé par les cryptomonnaies, ces actifs numériques basés sur la technologie blockchain, mais incertain sur la façon d'acheter et de vendre sans…

En savoir plus

Un quart des smartphones Android concernes

L’ampleur de la faille est considerable. MediaTek est le premier fabricant mondial de puces pour smartphones en termes de volume. Ses processeurs equipent une large gamme d’appareils, des telephones d’entree de gamme aux modeles de milieu de gamme vendus par Samsung, Xiaomi, Oppo, Vivo, Realme et de nombreux autres fabricants.

Selon les estimations des chercheurs, environ 25 % des smartphones Android en circulation combinent une puce MediaTek et le systeme securise Trustonic, les deux composants necessaires a l’exploitation de la faille. Cela represente des centaines de millions d’appareils dans le monde.

Qui n’est pas concerne ?

Les telephones equipes de puces Qualcomm Snapdragon ou Samsung Exynos ne sont pas affectes par cette vulnerabilite specifique. Les iPhones d’Apple, qui utilisent leurs propres puces et un environnement securise different, ne sont pas non plus concernes. De meme, les hardware wallets comme ceux de Ledger ou Trezor ne sont pas impactes, car ils utilisent des puces securisees dediees, concues specifiquement pour resister a ce type d’attaques physiques.

Cependant, un point merite attention : meme si votre portefeuille materiel est securise, si vous avez un jour saisi ou affiche votre seed phrase sur un telephone Android vulnerable, cette information pourrait theoriquement avoir ete compromise. La securite d’une seed phrase depend de chaque appareil qui l’a manipulee, pas uniquement de celui ou elle est stockee en permanence.

La reponse de MediaTek et le calendrier des correctifs

Ledger Donjon a suivi un processus de divulgation responsable. Les chercheurs ont informe MediaTek de la vulnerabilite avant toute publication, laissant le temps au fabricant de preparer un correctif. MediaTek a fourni les patchs de securite aux fabricants de smartphones le 5 janvier 2026.

Toutefois, le deploiement des correctifs reste un point d’inquietude. Dans l’ecosysteme Android, les mises a jour de securite transitent par une chaine complexe : MediaTek fournit le patch, le fabricant du telephone l’integre a son propre logiciel, puis le deploie aupres des utilisateurs. Ce processus peut prendre des semaines, voire des mois, selon le fabricant et le modele.

Les utilisateurs concernes doivent verifier que leur telephone dispose des dernieres mises a jour de securite. Le patch pour la CVE-2026-20435 devrait apparaitre dans les bulletins de securite Android de mars ou avril 2026. Les telephones plus anciens, qui ne recoivent plus de mises a jour, resteront vulnerables indefiniment.

Comprendre Bitcoin : Guide Complet pour Débutants (2026)

Comprendre Bitcoin : Guide Complet pour Débutants (2026)

Vous vous demandez ce qu’est le Bitcoin ? Vous n’êtes pas seul. Cette monnaie numérique révolutionnaire fait parler d’elle depuis plus de…

En savoir plus

Comment proteger vos cryptomonnaies

En attendant que le correctif soit deploye sur tous les appareils, plusieurs mesures permettent de reduire les risques.

Mesures immediates

La premiere recommandation est de verifier le fabricant de la puce de votre telephone. Sur Android, l’information est disponible dans Parametres, A propos du telephone, puis Processeur. Si votre appareil utilise une puce MediaTek (les references commencent generalement par « Dimensity » ou « Helio »), vous etes potentiellement concerne.

Ensuite, installez immediatement toutes les mises a jour disponibles. Activez les mises a jour automatiques si ce n’est pas deja fait. Verifiez regulierement le niveau du patch de securite Android dans les parametres de votre telephone.

Pour les detenteurs de montants significatifs en cryptomonnaies, la solution la plus robuste reste d’utiliser un hardware wallet. Ces appareils dedies sont concus pour resister aux attaques physiques et ne dependent pas de la securite du telephone. La seed phrase ne quitte jamais la puce securisee du portefeuille materiel.

Bonnes pratiques a long terme

Cette affaire rappelle un principe fondamental : ne jamais saisir ou afficher une seed phrase sur un appareil connecte a Internet. Meme temporairement. Meme pour une « simple verification ». Chaque appareil qui manipule cette information devient un vecteur d’attaque potentiel.

Les utilisateurs qui stockent des montants importants devraient egalement envisager une strategie de repartition. Conserver l’ensemble de ses fonds sur un seul appareil ou un seul portefeuille constitue un risque de point de defaillance unique. Diversifier entre un hardware wallet pour l’epargne et un wallet mobile pour les petites transactions quotidiennes limite l’exposition en cas de compromission.

Ce que cela revele sur la securite mobile

La decouverte de Ledger Donjon depasse le cadre des cryptomonnaies. Elle met en evidence une realite souvent ignoree : la securite des smartphones repose sur une chaine de confiance complexe ou chaque maillon peut devenir le point faible. Les utilisateurs font confiance a leur telephone pour proteger leurs donnees bancaires, leurs mots de passe et leurs cles privees. Mais cette confiance suppose que le materiel sous-jacent est inviolable.

Les attaques par injection de fautes (fault injection) ne sont pas nouvelles dans le monde de la securite informatique. Elles sont utilisees depuis des annees pour compromettre des cartes a puce et des systemes embarques. Mais leur application a des smartphones grand public, avec un taux de succes aussi eleve et un temps d’execution aussi court, marque une escalade significative.

Pour l’industrie crypto, cet episode renforce l’argument en faveur des solutions de stockage materielles dediees. La commodite d’un wallet mobile ne doit pas faire oublier que la securite d’un telephone depend de decisions prises par des fabricants de puces, des editeurs de logiciels securises et des constructeurs de telephones, autant d’acteurs sur lesquels l’utilisateur final n’a aucun controle.

Cette decouverte intervient a un moment ou l’adoption des cryptomonnaies via les applications mobiles atteint des niveaux records. Des millions d’utilisateurs dans le monde stockent des fonds significatifs sur leur telephone, souvent sans conscience des risques materiels sous-jacents. La faille CVE-2026-20435 est un rappel que dans l’univers crypto, la securite ne se limite pas au choix d’un bon mot de passe ou a l’activation de l’authentification a deux facteurs. Elle commence au niveau du silicium.

Glossaire

  • Seed phrase (phrase de recuperation) : Suite de 12 ou 24 mots generee lors de la creation d’un portefeuille crypto. Elle permet de restaurer l’acces a tous les fonds associes. Quiconque connait cette phrase controle les cryptomonnaies du portefeuille.
  • Secure boot (demarrage securise) : Mecanisme de securite qui verifie l’authenticite et l’integrite de chaque composant logiciel charge au demarrage d’un appareil. Il empeche l’execution de code non autorise avant le lancement du systeme d’exploitation.
  • TEE (Trusted Execution Environment) : Zone isolee du processeur d’un smartphone, concue pour executer du code sensible et stocker des donnees critiques (cles, PIN) a l’abri du systeme d’exploitation principal.
  • Hardware wallet (portefeuille materiel) : Appareil physique dedie au stockage des cles privees crypto. Isole du reseau Internet, il signe les transactions en interne sans jamais exposer les cles, offrant un niveau de securite superieur aux wallets logiciels.
  • Voltage glitch (injection de faute) : Technique d’attaque physique consistant a envoyer des impulsions electromagnetiques ou electriques pour perturber le fonctionnement normal d’un processeur. Ces perturbations peuvent forcer la puce a sauter des instructions de securite.
  • CVE (Common Vulnerabilities and Exposures) : Systeme de reference international qui attribue un identifiant unique a chaque faille de securite decouverte. Le format CVE-ANNEE-NUMERO permet de suivre et documenter les vulnerabilites de maniere standardisee.

Questions fréquentes

Mon smartphone Android est-il concerne par la faille MediaTek ?

Seuls les smartphones equipes d’une puce MediaTek associee au systeme securise Trustonic sont vulnerables, soit environ 25 % des telephones Android. Pour verifier, allez dans Parametres, A propos du telephone, puis Processeur. Les puces MediaTek portent generalement les noms Dimensity ou Helio. Les telephones avec des puces Qualcomm Snapdragon ou Samsung Exynos ne sont pas concernes.

La faille a-t-elle ete corrigee ?

MediaTek a fourni un correctif aux fabricants de smartphones le 5 janvier 2026. Cependant, le deploiement depend de chaque fabricant. Verifiez que votre telephone dispose des dernieres mises a jour de securite Android. Le patch pour la CVE-2026-20435 devrait etre inclus dans les bulletins de securite de mars ou avril 2026.

Mes cryptomonnaies sont-elles en danger si j'utilise Trust Wallet ou Phantom sur Android ?

Si votre telephone utilise une puce MediaTek avec Trustonic et qu’un attaquant obtient un acces physique a votre appareil via USB, il pourrait theoriquement extraire votre seed phrase en 45 secondes. Installez les mises a jour de securite immediatement et envisagez de transferer vos fonds vers un hardware wallet pour les montants importants.

Un hardware wallet protege-t-il contre cette faille ?

Oui. Les hardware wallets comme Ledger ou Trezor utilisent des puces securisees dediees qui ne sont pas affectees par la faille MediaTek. La seed phrase ne quitte jamais l’appareil. Cependant, si vous avez deja saisi votre seed phrase sur un telephone Android vulnerable, cette information pourrait avoir ete compromise.

L'attaque peut-elle etre realisee a distance ?

Non. Cette attaque necessite un acces physique a l’appareil et une connexion USB. Elle ne peut pas etre exploitee a distance via Internet ou Bluetooth. Le risque concerne principalement les scenarios de vol ou d’acces non autorise au telephone.

Sources

Cet article s’appuie sur les sources suivantes :

  • Decrypt – Android Phone Crypto Wallets Could Be Exposed to Exploit: Here’s Who Is at Risk (mars 2026)
  • CryptoNews – Ledger Researchers Expose Android Flaw Enabling Wallet Seed Theft (mars 2026)
  • Cointelegraph – Crypto Seed Phrase Exploit on Android Phones Exposed by Ledger (mars 2026)
  • The Block – Ledger Researchers Expose Android Flaw Enabling Theft (mars 2026)

Comment citer cet article : Fibo Crypto. (2026). Faille critique MediaTek : vol de seed phrase en 45 secondes sur 25 % des smartphones Android. Consulte le 12 mars 2026 sur fibo-crypto.fr

Articles similaires