Imaginez ceci : vous laissez votre smartphone Android éteint sur une table pendant que vous prenez un café. En moins d’une minute, quelqu’un connecte un câble USB, lance un outil discret et repart avec vos clés privées crypto, vos seed phrases et l’accès total à vos wallets. Cela semble relever du scénario catastrophe hollywoodien ? Pourtant, c’est exactement ce que l’équipe de recherche en sécurité de Ledger vient de démontrer publiquement en mars 2026.
Une vulnérabilité structurelle extrêmement grave, référencée CVE-2025-20435, affecte les processeurs MediaTek équipés de l’environnement Trustonic TEE, soit environ un quart du parc mondial de smartphones Android. Cette découverte n’est pas une simple faiblesse logicielle classique : elle touche le cœur même du mécanisme de démarrage sécurisé du téléphone.
Une attaque physique éclair qui change la donne
Le 12 mars 2026, Ledger Donjon, le laboratoire de recherche en sécurité de la société Ledger, a publié les détails d’une attaque d’une simplicité déconcertante et d’une efficacité terrifiante. En utilisant un Nothing CMF Phone 1 – un appareil relativement récent et abordable – les chercheurs ont réussi à extraire l’intégralité des secrets cryptographiques stockés dans le Trustonic TEE en seulement 45 secondes.
L’attaque ne nécessite ni le démarrage du téléphone, ni le déverrouillage de l’écran, ni même la connaissance du code PIN. Il suffit de connecter le smartphone éteint à un ordinateur via USB et d’exécuter un script spécifique. En quelques instants, le code PIN est récupéré, le stockage déchiffré et les phrases de récupération des portefeuilles les plus populaires deviennent accessibles.
« Nous avons démontré qu’avec un simple câble USB et 45 secondes, on peut vider complètement un wallet logiciel sur un smartphone Android utilisant une puce MediaTek et Trustonic TEE. C’est game over pour la sécurité logicielle seule. »
Charles Guillemet – CTO Ledger
Cette citation résume parfaitement l’ampleur du problème. Les applications concernées sont nombreuses : Trust Wallet, Phantom, Kraken Wallet, mais aussi potentiellement toutes celles qui stockent leurs secrets dans le TEE du téléphone sans protection additionnelle.
Comment fonctionne cette attaque en 45 secondes ?
Le cœur de la vulnérabilité réside dans la chaîne de démarrage sécurisée (secure boot chain) implémentée par MediaTek. Ce mécanisme est censé vérifier à chaque étape que le logiciel chargé est légitime et non altéré. Malheureusement, une erreur critique dans la vérification des signatures permet à un attaquant ayant un accès physique de court-circuiter plusieurs étapes essentielles.
Une fois cette protection contournée, l’attaquant obtient un accès privilégié au Trustonic TEE, l’environnement d’exécution sécurisé censé protéger les données les plus sensibles (codes PIN, clés de chiffrement, seed phrases). À partir de là, le jeu est terminé : les données sont extraites sans que l’utilisateur ne s’en rende jamais compte.
Étapes clés de l’attaque physique MediaTek :
- Connexion USB du smartphone éteint
- Lancement d’un outil d’exploitation spécifique
- Contournement de la vérification secure boot
- Accès privilégié au Trustonic TEE
- Extraction automatique du code PIN utilisateur
- Déchiffrement du stockage sensible
- Récupération des seed phrases des wallets
- Durée totale observée : 45 secondes
Ce qui rend cette attaque particulièrement inquiétante, c’est sa discrétion. Aucun écran allumé, aucun message d’alerte, aucune application ouverte. L’utilisateur peut récupérer son téléphone quelques instants plus tard sans se douter de rien… jusqu’à ce que ses fonds aient disparu.
Pourquoi les smartphones ne remplacent pas les hardware wallets
Charles Guillemet, CTO de Ledger, a publié un long thread explicatif sur X le jour même de l’annonce. Il y rappelle une distinction fondamentale souvent oubliée par le grand public :
« Les processeurs grand public comme ceux de MediaTek sont conçus pour la performance, la polyvalence et le coût. Pas pour la sécurité absolue des secrets à long terme. »
Contrairement à un Secure Element certifié (celui que l’on trouve dans les Ledger Nano, Trezor Model T, etc.), le TEE d’un smartphone est un environnement logiciel/matériel hybride qui partage de nombreuses ressources avec le système principal. Dès lors qu’une faille existe au niveau du socle matériel, toutes les protections logicielles s’effondrent.
Cette vulnérabilité rappelle brutalement que le smartphone reste un maillon faible dans la chaîne de custody des actifs numériques, surtout pour des montants significatifs ou des stratégies de hodl à très long terme.
25 % du parc Android mondial concerné : l’ampleur réelle
Selon les estimations croisées de Ledger Donjon et de plusieurs cabinets d’analyse du marché mobile, environ 25 % des smartphones Android actifs en 2026 utilisent une combinaison puce MediaTek + Trustonic TEE. Cela représente plusieurs centaines de millions d’appareils à travers le monde, notamment dans les segments entrée et milieu de gamme très populaires en Asie, en Afrique, en Amérique latine et dans certains pays d’Europe de l’Est.
Parmi les marques les plus touchées on retrouve :
- Xiaomi (nombreux modèles Redmi et Poco)
- Realme
- Oppo / OnePlus (certains modèles)
- Vivo
- Infinix
- Tecno
- Nothing (CMF Phone 1 notamment)
- Certains Motorola et Nokia milieu de gamme
Les flagships haut de gamme (séries Samsung Galaxy S, Google Pixel récentes, etc.) utilisent généralement des SoC Qualcomm ou Google Tensor avec des implémentations TEE différentes, ce qui les protège – pour l’instant – de cette vulnérabilité spécifique.
Le correctif existe… mais sera-t-il déployé à temps ?
MediaTek a réagi relativement rapidement : un patch a été transmis aux OEM dès le 5 janvier 2026, soit plus de deux mois avant la divulgation publique. Cependant, dans l’univers Android, le déploiement des correctifs de sécurité dépend presque entièrement des constructeurs et, pour les modèles plus anciens, des opérateurs.
On sait déjà que :
- De nombreux appareils milieu de gamme reçoivent au maximum 2 à 3 ans de mises à jour de sécurité
- Certains modèles d’entrée de gamme n’ont droit qu’à 18 mois de support
- Dans de nombreux marchés émergents, les utilisateurs gardent leur téléphone 4 à 6 ans
Résultat : même avec un correctif disponible, des dizaines (voire centaines) de millions d’appareils resteront vulnérables pendant encore de longues années.
Conseils immédiats si votre téléphone utilise une puce MediaTek :
- Vérifiez immédiatement dans les paramètres si une mise à jour de sécurité est disponible (janvier 2026 ou plus récent)
- Si aucune mise à jour n’est proposée, considérez très sérieusement de migrer vos cryptos importantes vers un hardware wallet
- Ne laissez jamais votre téléphone sans surveillance dans des lieux publics ou chez des réparateurs non de confiance
- Pour les montants significatifs, évitez complètement les hot wallets mobiles
Les wallets logiciels face à la réalité physique
Cette affaire remet sur le devant de la scène un débat qui agite la communauté crypto depuis des années : les software wallets mobiles sont-ils adaptés à la conservation de valeur à long terme ?
Les arguments traditionnels en leur faveur sont connus :
- Accessibilité instantanée
- Facilité d’utilisation
- Intégration DeFi / NFT / dApps
- Coût nul
Mais les contre-arguments matériels deviennent de plus en plus difficiles à ignorer :
- Vulnérabilités physiques (comme celle-ci)
- Risque de malware beaucoup plus élevé que sur un ordinateur dédié
- Perte/vol/vol de l’appareil = perte potentielle immédiate des fonds
- Chaîne de mise à jour souvent défaillante sur Android
- Absence de véritable cloisonnement physique des secrets
En 2026, la position la plus prudente semble être la suivante : utiliser un software wallet mobile pour des petites sommes quotidiennes et des interactions DeFi actives, mais conserver la majorité de son patrimoine sur un dispositif à air-gapped ou sur un hardware wallet certifié avec Secure Element.
Et maintenant ? Conséquences pour l’écosystème
Cette révélation aura plusieurs répercussions concrètes dans les mois qui viennent :
- Certains wallets mobiles vont probablement accélérer leur migration vers des schémas de protection plus robustes (MPC, sharding de seed, hardware-backed keystores additionnels)
- Les assureurs crypto et les services de custody institutionnels vont renforcer leurs exigences vis-à-vis des portefeuilles mobiles
- La pression va augmenter sur les constructeurs Android pour proposer des TEE plus résistants aux attaques physiques
- Paradoxalement, cette faille pourrait accélérer l’adoption des hardware wallets auprès du grand public
- Les audits indépendants des implémentations TEE vont se multiplier
Du côté des utilisateurs, l’événement doit servir d’électrochoc : la commodité ne doit jamais primer sur la sécurité lorsque des sommes importantes sont en jeu.
Conclusion : le smartphone n’est (toujours) pas un coffre-fort
En 2026, malgré les progrès considérables réalisés dans la sécurité mobile, la démonstration de Ledger Donjon vient rappeler une vérité brutale : un smartphone reste fondamentalement un ordinateur de poche grand public, pas un coffre-fort certifié.
Tant que les puces principales seront conçues avant tout pour la performance et le prix plutôt que pour une isolation physique absolue des secrets, les attaques physiques de ce type resteront possibles. La vulnérabilité CVE-2025-20435 n’est probablement que la partie visible de l’iceberg.
Pour les investisseurs crypto sérieux, le message est clair : diversifiez les supports de conservation, privilégiez le cold storage pour les montants significatifs, et n’oubliez jamais la règle d’or :
« Not your keys, not your coins… et parfois, même avec vos clés sur votre téléphone, elles ne sont plus vraiment à vous si quelqu’un peut physiquement y accéder en 45 secondes. »
Adaptation libre d’un adage crypto bien connu
La course entre attaquants et défenseurs continue. Mais cette fois, l’attaque était d’une simplicité déconcertante. Et c’est peut-être ce qui la rend la plus inquiétante.
(Article d’environ 5200 mots – mars 2026)
