Ce qu’il faut retenir :
- Le Ledger Donjon a découvert une vulnérabilité permettant de voler un code PIN Android en 45 secondes sans allumer le téléphone.
- La faille, référencée CVE-2025-20435, touche les appareils combinant puces MediaTek et environnement sécurisé Trustonic, soit environ 25 % des Android mondiaux.
- Un correctif a été transmis aux fabricants le 5 janvier 2026 : installer les dernières mises à jour système est impératif.
En 45 secondes, sans allumer le téléphone, les hackers éthiques de Ledger ont récupéré un code PIN, déchiffré le stockage et extrait les seed phrases de plusieurs wallets crypto. La démonstration a été réalisée au siège parisien de Ledger, sur un Android connecté à un simple ordinateur. Le résultat est sans appel : Trust Wallet, Kraken Wallet, Phantom, Rabby, Base et Tangem Mobile Wallet ont tous été compromis lors du test.
Une faille dans la chaîne de démarrage sécurisé de MediaTek
La vulnérabilité, officiellement référencée CVE-2025-20435, se situe au niveau de la chaîne de démarrage sécurisé (secure boot chain) de MediaTek. Elle n’affecte pas tous les Android, mais ceux qui combinent un processeur MediaTek et un environnement d’exécution sécurisé Trustonic (TEE), une configuration qui concerne environ un quart des smartphones Android dans le monde. Parmi les appareils concernés figurent certains modèles orientés crypto, comme le Solana Seeker.
La nature de l’attaque est particulièrement préoccupante : un accès physique à l’appareil suffit. L’attaquant n’a pas besoin que le téléphone soit allumé, ni de connaître le code PIN au préalable. La faille lui permet d’y accéder directement.
Divulgation responsable et correctif déployé en janvier
Dès la faille identifiée, le Ledger Donjon, le laboratoire de cybersécurité interne de la licorne française, a notifié MediaTek et Trustonic en suivant le protocole de divulgation responsable : 90 jours laissés aux deux entreprises pour déployer un correctif avant toute communication publique.
MediaTek a respecté ce délai. Un patch a été transmis aux fabricants de téléphones le 5 janvier 2026. La vulnérabilité a ensuite été rendue publique le 2 mars, laissant deux mois aux constructeurs pour intégrer la mise à jour et aux utilisateurs pour l’installer.
Si vous possédez un Android et que vos mises à jour système ne sont pas à jour, c’est le moment de les effectuer.
Les smartphones ne sont pas des coffres-forts
Cette découverte s’inscrit dans un programme de recherche plus large du Ledger Donjon sur la sécurité des téléphones utilisés comme supports de stockage pour des cryptoactifs. L’équipe travaillait initialement sur l’analyse du chiffrement de la mémoire flash Android avant de remonter jusqu’à cette faille dans la chaîne de démarrage.
Pour Charles Guillemet, directeur technique (CTO) de Ledger, la conclusion est sans nuance : “Les smartphones n’ont jamais été conçus pour être des coffres-forts.”
Même corrigé par une mise à jour, le problème de fond reste entier. Un téléphone est conçu pour faire tourner des applications grand public, pas pour protéger des clés cryptographiques. Du firmware à la puce elle-même, en passant par la couche logicielle, les surfaces d’attaque potentielles sont nombreuses, et les cybercriminels le savent.
Cet article vous a plu ? Recevez les prochains par email
Rejoignez +40 000 abonnés. L'essentiel du marché crypto dans votre boîte mail, tous les 2 jours.
