La situation actuelle de OnePlus soulève des préoccupations majeures concernant la sécurité de ses appareils. Une vulnérabilité récemment découverte expose les données de messages privés, et la marque semble tarder à réagir face à ce problème sérieux. Les utilisateurs doivent donc reconsidérer leur sécurité numérique.
OnePlus souligne depuis des années sa capacité à proposer des smartphones « premium » à des prix abordables. Cependant, il semble qu’elle ait perdu une partie de son attrait, notamment en ce qui concerne son système d’exploitation. Personnellement, j’appréciais beaucoup OxygenOS, mais depuis la fusion des départements de R&D avec OPPO, une grande partie de son charme s’est évanouie.
De surcroît, les dysfonctionnements s’accumulent, et la dernière découverte de la firme de cybersécurité Rapid7 le confirme : des millions de dispositifs OnePlus utilisant OxygenOS présentent une vulnérabilité permet à n’importe quelle application installée de lire les données et métadonnées des SMs et MMS sans autorisation ni notification pour l’utilisateur. Autrement dit, le téléphone censé protéger vos messages privés les expose sans retenue.
Vulnérabilité grave sur les mobiles OnePlus
Le problème, enregistré comme CVE-2025-10184, est tout sauf anodin. Rapid7 a verificé cette vulnérabilité sur plusieurs modèles, dont le OnePlus 8T et le 10 Pro avec différentes versions du logiciel, plus précisément, OxygenOS 12, 14 et 15, mais a signalé que le problème s’étend à d’autres appareils et versions. Et le plus inquiétant, ce n’est pas une simple erreur isolée, mais un défaut de conception dans la couche logicielle ajoutée par OnePlus sur Android.
Pour se « démarquer » de la version standard d’Android, la marque chinoise a introduit des fournisseurs de contenu supplémentaires, tels que PushMessageProvider ou ServiceNumberProvider. Le souci est qu’en faisant cela, elle a omis de déclarer des permissions essentielles comme READ_SMS. En conséquence, n’importe quelle application, même sans privilèges SMs, peut accéder à ces informations. De plus, cela facilite également les attaques par injection SQL qui reconstructent les messages caractère par caractère. Une aubaine pour quiconque ayant de mauvaises intentions.
La gravité de cette faille est sans équivoque, puisqu’au-delà de l’intrusion dans la vie privée, elle représente un risque direct pour les systèmes de vérification en deux étapes basés sur les SMs, souvent utilisés dans le secteur bancaire, par courriel et sur les réseaux sociaux. Si une application malveillante peut intercepter ces codes sans éveiller les soupçons, le vol de comptes devient une question de minutes.
OnePlus fait la sourde oreille
À ce stade, cela pourrait donner l’impression d’une histoire classique d’un bug trouvé et corrigé rapidement. Mais ce qui laisse réellement OnePlus dans une position délicate, c’est sa réaction. Ou plutôt, son absence de réponse. Rapid7 affirme avoir tenté de contacter l’entreprise à plusieurs reprises entre mai et août, utilisant différentes adresses et canaux. Sept tentatives ignorées avant d’être contraints de rendre le rapport public, incluant un exploit de preuve de concept.
Ce n’est qu’après avoir vu le danger, après la publication, que OnePlus a reconnu l’existence de la faille et a déclaré être “enquêteant”. Mais il est clair que c’est déjà trop tard, surtout pour sa réputation. Le fait que la marque ne réponde pas pendant des mois à un avertissement critique frôle l’irresponsabilité, laissant les utilisateurs exposés sans un correctif officiel à la vue, bien qu’ayant affirmé enquêter sur le problème de sécurité.
Que faire d’ici là ? Les chercheurs eux-mêmes, et non la marque, recommandent d’installer uniquement des applications de confiance, de limiter le nombre d’applications sur l’appareil et d’abandonner les SMs comme méthode d’authentification.