Cette vulnérabilité permet à un attaquant ayant accès physique à votre téléphone d'extraire les clés de chiffrement via USB avant le démarrage du système d'exploitation, de déchiffrer le stockage de l'appareil et de récupérer votre code PIN. Le tout en moins de 45 secondes.
Les chercheurs ont réussi une démonstration pratique de cette faille et ont extrait des données sensibles provenant d'applications comme Trust Wallet, Kraken Wallet et Phantom. Ce problème de sécurité touche environ 25% des téléphones Android, particulièrement ceux équipés de processeurs MediaTek associés à l'environnement d'exécution sécurisé Trustonic (TEE).
Charles Guillemet, directeur technologique de Ledger, rappelle que les smartphones ne sont pas conçus pour servir de coffres-forts. Bien que cette vulnérabilité soit correctible, elle montre les risques inhérents au stockage de clés privées sur des appareils ordinaires. Pour cette raison, les utilisateurs détenant des montants importants devraient migrer vers des portefeuilles matériels dédiés, qui conservent les clés hors ligne dans des éléments sécurisés.
Une faille de sécurité contournant les couches de protection
Chaque téléphone intègre une zone sécurisée pour protéger les mots de passe et les clés crypto. Or, cette protection peut être contournée avant même que le système ne déclenche ses alarmes. La réalité, c'est que les smartphones ne sont pas construits pour assurer une sécurité maximale. Lorsque des applications comme TrustWallet ou Phantom stockent les données en mémoire principale du téléphone, elles deviennent vulnérables.
Les mesures correctives de MediaTek
MediaTek a fourni un correctif aux fabricants en janvier 2026. Vous devriez installer les derniers patchs de sécurité disponibles pour votre appareil. Comme précisé, pensez aussi à transférer vos actifs vers des portefeuilles matériels spécialisés.
Ce que révèlent les données de TRM Labs
Selon TRM Labs, plus de 80% des 2,1 milliards d'actifs crypto volés au premier semestre 2025 l'ont été par des attaques infrastructurelles : vols de clés privées, vols de phrases mnémoniques et piratages d'interfaces.
Chainalysis indique que les pertes dues aux vols d'actifs crypto ont dépassé les 3,41 milliards de dollars en 2024. Le nombre de portefeuilles compromis a grimpé de 2,3% en 2022 à 44% en 2024.
Conclusion
La vulnérabilité détectée dans le processeur MediaTek Dimensity 7300 représente un vrai souci pour les appareils Android. Cette puce équipe environ 25% de tous les téléphones Android. Contrairement à un simple bug logiciel, cette faille siège au niveau du ROM de démarrage du processeur. Un simple branchement USB permet à un attaquant de forcer la puce MediaTek à révéler sa clé maître. Puisque Trust Wallet, Phantom et autres conservent les données en mémoire standard, elles restent exposées à des exploits au niveau matériel. Installez sans attendre les correctifs de sécurité proposés par les fabricants dès leur publication.
