Publié le 17 octobre 2025 à 05h56 par Philippe

Pixnapping : une faille Android permettrait de lire tout ce qui s'affiche sur votre smartphone

Une vulnérabilité inédite secoue l’écosystème Android. Baptisée « Pixnapping », cette attaque d’un genre nouveau permettrait à des pirates de capturer les informations affichées à l’écran, y compris les codes d’authentification à deux facteurs sans qu’aucune capture d’écran ne soit effectuée. Si aucun malware connu ne l’exploite encore, cette découverte soulève d’importantes inquiétudes sur la sécurité graphique du système Android.

Une attaque née dans les laboratoires américains

Tout est parti d’une publication d’un groupe de chercheurs en cybersécurité issus de plusieurs universités américaines. Ces derniers ont mis en lumière un procédé capable d’exfiltrer toutes les informations affichées sur un écran Android, qu’il s’agisse d’un mot de passe, d’un message privé ou d’un code de connexion temporaire.

Leur démonstration, menée sur plusieurs modèles de smartphones Google Pixel et Samsung Galaxy, a permis de récupérer un code Google Authenticator en moins de 30 secondes.

Selon Alan Linghao Wang, auteur principal de l’étude cité par Ars Technica, « c’est comme si une application malveillante pouvait prendre une capture d’écran de votre téléphone sans en avoir le droit ».

Le « kidnapping de pixels » : un espionnage silencieux

Le terme Pixnapping, contraction de pixel et kidnapping, illustre parfaitement la méthode utilisée.

Contrairement aux attaques classiques reposant sur l’accès aux captures d’écran ou à la mémoire système, Pixnapping analyse le rendu des pixels à la source, au moment où le téléphone dessine l’image à l’écran.

Une fois installée sur l’appareil, l’application malveillante va :

Ouvrir une application cible, par exemple Google Authenticator ou une messagerie, pour forcer l’affichage d’un code ou d’une information sensible ;
Appliquer un effet graphique mineur (comme un flou semi-transparent) sur certaines zones ;
Mesurer le temps de rendu de chaque pixel à l’aide des signaux VSync du GPU Android.

Ces différences de temps, imperceptibles pour l’œil humain, permettent ensuite de déduire la couleur, la forme et donc le contenu affiché. En croisant ces données avec un logiciel de reconnaissance optique (OCR), l’attaquant peut reconstruire visuellement le contenu de l’écran sans en posséder la capture directe.

L’origine du procédé remonte à GPU.zip, une technique découverte en 2023 par le chercheur Paul Stone. Elle exploitait déjà des canaux auxiliaires du GPU pour déduire des informations à partir de la compression des pixels. Pixnapping en est l’adaptation mobile plus subtile, mais tout aussi redoutable.

Une menace d’autant plus inquiétante qu’elle contourne les protections d’Android

Le plus préoccupant dans cette faille est qu’elle ne nécessite aucun accès administrateur (root) ni privilèges élevés. Une simple application dotée d’autorisations limitées mais malveillante peut théoriquement exécuter cette attaque, à l’insu complet de l’utilisateur.
Autrement dit, un téléphone non modifié et à jour peut encore être vulnérable, si une application infectée s’y installe.

Les chercheurs ont observé des taux de réussite variables selon les modèles : 73 % sur un Pixel 6, 53 % sur un Pixel 9. Le temps moyen nécessaire pour extraire un code à usage unique oscille entre 14 et 25 secondes, soit moins que le délai de rotation des codes de sécurité temporaires : un élément clé de l’efficacité de l’attaque.

Une fois ces informations volées, les données peuvent être transmises vers un serveur distant, permettant aux cybercriminels d’accéder à des comptes bancaires, des messageries privées, voire de modifier des paramètres d’applications sensibles comme Signal, Gmail, Venmo ou Google Maps.

Google réagit, mais la faille n’est pas encore totalement colmatée

Alerté dès février 2025, Google a publié un premier correctif partiel (CVE-2025-48561) dans la mise à jour de sécurité d’Android de septembre 2025.

Selon l’entreprise, ce patch « atténue » l’exploitation du canal auxiliaire utilisé par Pixnapping. Toutefois, les chercheurs affirment avoir rapidement trouvé une solution de contournement, rendant la protection incomplète.

Google a promis un second correctif plus complet pour décembre 2025, tout en assurant n’avoir détecté aucun malware exploitant activement la faille.

En attendant, les utilisateurs restent invités à installer les mises à jour de sécurité dès leur disponibilité, à limiter les applications installées à celles provenant du Play Store, et à vérifier les autorisations accordées aux applications.

Comment se protéger contre le Pixnapping

En attendant la correction complète, quelques gestes simples permettent de réduire les risques :

Maintenez votre téléphone à jour (système et applications) ;
N’installez pas d’applications en dehors du Play Store ou de sources non vérifiées ;
Contrôlez les autorisations d’accès accordées aux applications, notamment celles liées à l’affichage ou aux superpositions d’écran ;
Utilisez un antivirus mobile capable d’analyser les permissions suspectes ;
Privilégiez une double authentification matérielle, via une clé physique (YubiKey, Titan Key), plutôt que via une application.

Une faille révélatrice de l’évolution des cybermenaces

Pixnapping marque une nouvelle étape dans la sophistication des attaques visant les smartphones. Là où les pirates cherchaient autrefois à infecter la mémoire ou les fichiers système, ils exploitent désormais les moindres signaux matériels du GPU pour infiltrer la couche graphique.

Cette découverte souligne un paradoxe : plus nos appareils deviennent puissants et sophistiqués, plus les surfaces d’attaque se multiplient. Les chercheurs espèrent que cette alerte servira de déclencheur pour renforcer les protections matérielles et logicielles liées au rendu graphique.

~~~~~~~~

A lire aussi