Une nouvelle menace a été révélée, exploitant une vulnérabilité ancienne pour surveiller ce que les utilisateurs voient sur leurs écrans sans leur consentement. Une application apparemment innocente peut accéder à des informations sensibles, rendant ce type d’attaque difficile à détecter pour les victimes. L’alerte est lancée.
Des chercheurs en sécurité ont découvert une nouvelle attaque appelée Pixnapping, qui exploite une vulnérabilité ancienne dans le système graphique d’un système d’exploitation pour espionner ce que l’utilisateur visualise à l’écran… sans demander aucun consentement et toujours à l’insu de la victime.
De cette manière, une application apparemment inoffensive téléchargée depuis Google Play pourrait accéder à tout ce que tu vois, de tes cartes sur Google Maps à tes emails sur Gmail, en passant par tes discussions sur WhatsApp ou même les codes de vérification de Google Authenticator.
Fonctionnement de Pixnapping
Le stratagème derrière cette attaque n’est pas nouveau, mais reste astucieux. Pixnapping utilise un canal latéral matériel connu sous le nom de GPU.zip. Pour éviter des explications trop techniques, il suffit de savoir qu’il mesure le temps nécessaire à la GPU pour rendre les pixels de l’écran. Ces petits changements de vitesse permettent de reconstruire, pixel par pixel, ce qui apparaît sur le mobile.
Le processus n’est pas rapide : il ne parvient à filtrer qu’entre 0,6 et 2,1 pixels par seconde, mais avec suffisamment de patience, il peut révéler des informations sensibles. La préoccupation principale réside dans le fait que tout cela se déroule sans autorisations spéciales ni alertes, ce qui rend la détection presque impossible pour l’utilisateur ou pour les défenses du système.
Les attaques de ce type sont désignées par le terme attaques de canal latéral. Elles n’exploitent pas une faille logicielle, mais plutôt la manière dont le matériel gère les données. Cela les rend beaucoup plus difficiles à détecter ou à corriger.
Qui est concerné
Cette vulnérabilité a été identifiée sous le nom de CVE-2025-48561, affectant les versions Android 13, 14, 15 et 16, y compris des modèles populaires tels que les Pixel 6 à 9 ou le Galaxy S25. La bonne nouvelle est que Google, dès qu’il a pris conscience du problème, a lancé un patch partiel en septembre 2025. La mauvaise nouvelle est que cela n’a pas complètement résolu le problème, et il est à prévoir qu’un nouveau patch arrive bientôt pour colmater entièrement cette faille de sécurité.
Pour l’heure, Google affirme qu’il n’y a aucune preuve que Pixnapping soit utilisé “dans le monde réel” et aucun cas d’attaques de ce type n’a été constaté, mais le fait qu’une telle possibilité existe est suffisant pour engendrer des inquiétudes.
Que faire
Les recommandations habituelles sont ici plus pertinentes que jamais : mets à jour ton mobile régulièrement, télécharge uniquement des applications de confiance, et vérifie les permissions avant d’installer quoi que ce soit. Si quelque chose semble louche, il y a de fortes chances pour que ce soit le cas, donc le bon sens, encore une fois, est ton meilleur allié.
Google travaille déjà sur de nouvelles mesures pour limiter l’abus de certaines API et améliorer la détection de ce type d’attaques, mais le problème fondamental, à savoir le fonctionnement du matériel des GPU de nos mobiles, reste sans solution définitive.