Le Pixnapping, une vulnérabilité inédite qui cible les smartphones Android, interroge la sécurité des données affichées à l’écran. Entre preuve de concept et risque réel, les experts d’ESET alertent sur cette nouvelle menace.
Un nouveau type d’attaque informatique, baptisé Pixnapping, pourrait transformer l’écran de votre smartphone en véritable passoire numérique. Découverte par des chercheurs américains, cette faille exploite les pixels des appareils Android pour en extraire des informations sensibles. Si Google a déjà déployé un correctif partiel, les spécialistes en cybersécurité estiment que la menace appelle une vigilance renforcée et une protection proactive des utilisateurs.
Un vol de pixels qui dévoile vos données sensibles
Les chercheurs des universités de Californie, Washington et Carnegie Mellon ont mis au jour une technique baptisée pixnapping, capable d’extraire à distance le contenu affiché sur l’écran d’un appareil Android. Testée sur plusieurs modèles Google Pixel (du 6 au 9) et un Samsung Galaxy S25, l’attaque permet à une application malveillante, installée à l’insu de l’utilisateur, de lire les pixels des autres apps ouvertes.
Sans aucune autorisation système, le malware peut ainsi “reconstruire” les données visibles : messages, e-mails, ou encore les codes temporaires d’authentification générés par Google Authenticator. « C’est comme si une application prenait une capture d’écran du contenu auquel elle ne devrait jamais avoir accès », expliquent les chercheurs. Ils assurent avoir réussi à récupérer des données issues de Gmail, Signal, Venmo ou Google Maps.
Google en alerte, correctifs en préparation
Les équipes de recherche ont signalé cette vulnérabilité sous la référence CVE‑2025‑48561. Google a réagi en deux temps. Un premier correctif partiel est arrivé avec la mise à jour de sécurité de septembre 2025.
Il a été suivi d’un second patch intégré au bulletin de décembre 2025, conçu pour neutraliser un contournement du premier correctif. Depuis, le bulletin de sécurité Android de mars 2026 n’a révélé aucune nouvelle exploitation documentée publiquement. Le correctif de mars 2026 protège les utilisateurs ayant installé les mises à jour après décembre 2025.
Protéger l’écran, la nouvelle frontière de la cybersécurité
Avec Android 16, Google a renforcé les défenses en profondeur. Le mode Protection avancée, activable en un geste, regroupe désormais la sécurité anti‑vol, le blocage des apps malveillantes, la sécurisation des réseaux et le filtrage web. Le Contrôle d’identité exige une biométrie dès que l’appareil quitte un lieu de confiance, ce qui complique toute tentative d’extraction furtive de données à l’écran.
Introduite sous Android 15, la fonction Échec d’authentification bénéficie désormais d’un simple interrupteur dans les paramètres, offrant un contrôle plus fin. Au niveau matériel, la puce Tensor G5 (ARMv9.2‑A) active le Return Address Pointer Authentication, mécanisme hérité de l’architecture ARMv8.3‑A qui rend l’exploitation de fuites par canal auxiliaire bien plus difficile.
PromptSpy, premier malware Android piloté par une IA générative
Les chercheurs d’ESET ont mis au jour PromptSpy, le tout premier malware Android à intégrer une IA générative dans sa boucle d’exécution. Concrètement, le cheval de Troie envoie à Google Gemini un dump XML de l’écran et reçoit en retour des instructions JSON qui lui dictent la manœuvre à exécuter pour s’ancrer dans les apps récentes. PromptSpy déploie ensuite un module VNC intégré qui offre à l’attaquant un contrôle total de l’appareil.
D’après Lukáš Štefanko, chercheur chez ESET à l’origine de la découverte, « l’objectif principal de PromptSpy est de déployer un module VNC afin de permettre aux opérateurs un accès distant complet au terminal compromis ». Ce malware, qui pourrait encore relever d’une preuve de concept, cible pour l’instant des utilisateurs en Argentine via des sites de phishing imitant JPMorgan Chase. Face à cette menace d’un genre nouveau, la parade reste le mode sans échec suivi d’une désinstallation manuelle.
FAQ
Le Pixnapping est une attaque par canal auxiliaire. Une application malveillante, sans aucune permission système, exploite les API graphiques d’Android et des mesures temporelles de la puce graphique pour reconstituer, pixel par pixel, le contenu affiché par d’autres applications. La vulnérabilité est référencée sous le code CVE‑2025‑48561.
Les codes d’authentification à deux facteurs (2FA) issus d’apps comme Google Authenticator, des extraits de messagerie, des aperçus d’emails, ou encore des données bancaires affichées à l’écran. L’attaque peut récupérer un code 2FA en moins de 30 secondes.
Oui, si votre appareil Android a reçu le correctif de sécurité de décembre 2025 ou une version ultérieure, notamment le patch de mars 2026. Les Pixels à jour ne sont plus vulnérables. Samsung a reconnu le problème mais n’a pas communiqué de calendrier de déploiement équivalent.
Non. Le vecteur d’attaque ne se limite pas à une application précise. C’est la version d’Android et son niveau de correctif qui comptent. Toute application utilisant le Biometric Prompt — dont Google Authenticator — bénéficie automatiquement de l’extension du Contrôle d’identité sous Android 16.
Activez le mode Protection avancée d’Android 16, vérifiez régulièrement les mises à jour système, ne téléchargez des apps que depuis le Play Store, et évitez les APK issus de sources inconnues.
