Pixnapping : une nouvelle faille sur Android

Le Pixnapping, une vulnérabilité inédite qui cible les smartphones Android, interroge la sécurité des données affichées à l’écran. Entre preuve de concept et risque réel, les experts d’ESET alertent sur cette nouvelle menace.

Un nouveau type d’attaque informatique, baptisé Pixnapping, pourrait transformer l’écran de votre smartphone en véritable passoire numérique. Découverte par des chercheurs américains, cette faille exploite les pixels des appareils Android pour en extraire des informations sensibles. Si Google a déjà déployé un correctif partiel, les spécialistes en cybersécurité estiment que la menace appelle une vigilance renforcée et une protection proactive des utilisateurs.

Un vol de pixels qui dévoile vos données sensibles

Les chercheurs des universités de Californie, Washington et Carnegie Mellon ont mis au jour une technique baptisée pixnapping, capable d’extraire à distance le contenu affiché sur l’écran d’un appareil Android. Testée sur plusieurs modèles Google Pixel (du 6 au 9) et un Samsung Galaxy S25, l’attaque permet à une application malveillante, installée à l’insu de l’utilisateur, de lire les pixels des autres apps ouvertes.

Sans aucune autorisation système, le malware peut ainsi “reconstruire” les données visibles : messages, e-mails, ou encore les codes temporaires d’authentification générés par Google Authenticator. « C’est comme si une application prenait une capture d’écran du contenu auquel elle ne devrait jamais avoir accès », expliquent les chercheurs. Ils assurent avoir réussi à récupérer des données issues de Gmail, Signal, Venmo ou Google Maps.

Google en alerte, correctifs en préparation

Les équipes de recherche ont signalé cette vulnérabilité sous la référence CVE202548561. Google a réagi en deux temps. Un premier correctif partiel est arrivé avec la mise à jour de sécurité de septembre 2025.

Il a été suivi d’un second patch intégré au bulletin de décembre 2025, conçu pour neutraliser un contournement du premier correctif. Depuis, le bulletin de sécurité Android de mars 2026 n’a révélé aucune nouvelle exploitation documentée publiquement. Le correctif de mars 2026 protège les utilisateurs ayant installé les mises à jour après décembre 2025.

Protéger l’écran, la nouvelle frontière de la cybersécurité

Avec Android 16, Google a renforcé les défenses en profondeur. Le mode Protection avancée, activable en un geste, regroupe désormais la sécurité anti‑vol, le blocage des apps malveillantes, la sécurisation des réseaux et le filtrage web. Le Contrôle d’identité exige une biométrie dès que l’appareil quitte un lieu de confiance, ce qui complique toute tentative d’extraction furtive de données à l’écran.

Introduite sous Android 15, la fonction Échec d’authentification bénéficie désormais d’un simple interrupteur dans les paramètres, offrant un contrôle plus fin. Au niveau matériel, la puce Tensor G5 (ARMv9.2A) active le Return Address Pointer Authentication, mécanisme hérité de l’architecture ARMv8.3A qui rend l’exploitation de fuites par canal auxiliaire bien plus difficile.

PromptSpy, premier malware Android piloté par une IA générative 

Les chercheurs d’ESET ont mis au jour PromptSpy, le tout premier malware Android à intégrer une IA générative dans sa boucle d’exécution. Concrètement, le cheval de Troie envoie à Google Gemini un dump XML de l’écran et reçoit en retour des instructions JSON qui lui dictent la manœuvre à exécuter pour s’ancrer dans les apps récentes. PromptSpy déploie ensuite un module VNC intégré qui offre à l’attaquant un contrôle total de l’appareil.

D’après Lukáš Štefanko, chercheur chez ESET à l’origine de la découverte, « l’objectif principal de PromptSpy est de déployer un module VNC afin de permettre aux opérateurs un accès distant complet au terminal compromis ». Ce malware, qui pourrait encore relever d’une preuve de concept, cible pour l’instant des utilisateurs en Argentine via des sites de phishing imitant JPMorgan Chase. Face à cette menace d’un genre nouveau, la parade reste le mode sans échec suivi d’une désinstallation manuelle. 

FAQ

Qu’est-ce que le Pixnapping ?

Le Pixnapping est une attaque par canal auxiliaire. Une application malveillante, sans aucune permission système, exploite les API graphiques d’Android et des mesures temporelles de la puce graphique pour reconstituer, pixel par pixel, le contenu affiché par d’autres applications. La vulnérabilité est référencée sous le code CVE202548561

Quels types de données sont menacés ?

Les codes d’authentification à deux facteurs (2FA) issus d’apps comme Google Authenticator, des extraits de messagerie, des aperçus d’emails, ou encore des données bancaires affichées à l’écran. L’attaque peut récupérer un code 2FA en moins de 30 secondes

Suis-je protégé en 2026 ?

Oui, si votre appareil Android a reçu le correctif de sécurité de décembre 2025 ou une version ultérieure, notamment le patch de mars 2026. Les Pixels à jour ne sont plus vulnérables. Samsung a reconnu le problème mais n’a pas communiqué de calendrier de déploiement équivalent. 

Faut-il désinstaller Google Authenticator ?

Non. Le vecteur d’attaque ne se limite pas à une application précise. C’est la version d’Android et son niveau de correctif qui comptent. Toute application utilisant le Biometric Prompt — dont Google Authenticator — bénéficie automatiquement de l’extension du Contrôle d’identité sous Android 16

Quels gestes simples renforcent ma sécurité ?

Activez le mode Protection avancée d’Android 16, vérifiez régulièrement les mises à jour système, ne téléchargez des apps que depuis le Play Store, et évitez les APK issus de sources inconnues. 

ARTICLES SIMILAIRES

Zimbra déploie un correctif crucial pour une faille d’exécution de code critique

Une faille de sécurité critique a frappé Zimbra, mettant en danger les données des utilisateurs.

17 juillet 2026

Packages AsyncAPI npm compromis : une porte ouverte à un malware botnet multi-étapes

Une campagne de compromission touchant les packages AsyncAPI sur npm expose un nouveau malware. Ces

16 juillet 2026

OkoBot intègre du phishing de phrases secrètes dans les applications Ledger et Trezor

Le framework malveillant OkoBot cible les utilisateurs de portefeuilles matériels de cryptomonnaies. Il intègre un

15 juillet 2026

L’été, une période sensible pour vos données numériques

Les vacances génèrent aujourd’hui un volume inédit de photos, vidéos et documents numériques. Pourtant, la

15 juillet 2026

IA et cyberrisques : les directions sous-estiment encore le danger

Une étude de MetaCompliance montre que les cyberrisques liés aux employés préoccupent de plus en

13 juillet 2026

La faille DEBULL exploite le Device-Code Flow de Microsoft pour cibler les comptes M365

Une faille inédite menace la sécurité des comptes Microsoft 365. La méthode DEBULL manipule le

7 juillet 2026