Pixnapping : tout comprendre sur la faille Android qui détourne l’affichage des apps

Une attaque baptisée pixnapping bouleverse la sécurité Android : en moins de trente secondes, une application malveillante peut subtiliser les pixels affichés à l’écran — y compris des codes d’authentification 2FA. Google reconnaît la vulnérabilité et promet un correctif définitif en décembre, mais les chercheurs alertent : des millions de smartphones restent potentiellement exposés.

Paolo Garoscio
By Paolo Garoscio Published on 15 octobre 2025 11h10
Malware Android Bankosky Double Identification Symantec Danger Donnees Securite Informatique
@shutter - © Economie Matin
90%70 à 90 % des violations de sécurité ont pour origine l’erreur humaine

Découverte à la mi-octobre 2025, pixnapping est une attaque sophistiquée exploitant les couches graphiques d’Android pour détourner le rendu visuel des applications. Identifiée sous le code CVE-2025-48561, elle permet à des pirates de voler, à distance, des images sensibles telles que des mots de passe temporaires ou des messages affichés dans des applications protégées. Selon The Hacker News (14 octobre 2025), la faille touche les appareils Pixel 6 à Pixel 9 et Samsung Galaxy S25, sous Android 13 à 16.

Pixnapping : comment un écran Android devient une cible de piratage

Le terme pixnapping résulte de la fusion entre « pixel » et « kidnapping ». Selon les chercheurs du CyLab de Carnegie Mellon University, il s’agit d’un « nouveau type d’attaque Android capable de dérober les données affichées à l’écran en quelques secondes ». Cette technique repose sur un détournement des API de rendu graphique : une application malveillante déclenche le chargement d’une autre application en surimpression, puis mesure les variations de pixels générées par le processeur graphique — un canal latéral appelé GPU.zip. « Pixnapping force les pixels sensibles dans le pipeline de rendu et superpose des activités semi-transparentes via des intents Android », expliquent les chercheurs cités par The Hacker News.

Ce procédé ne nécessite aucune permission Android spécifique, une première dans le domaine des attaques visuelles. Ainsi, même une application apparemment anodine peut enregistrer les informations graphiques d’une autre, sans que l’utilisateur n’en ait conscience. Selon Dark Reading, les tests ont permis de voler des codes d’authentification 2FA, des messages Signal et des éléments d’interface Gmail.

L’étude, réalisée conjointement par des équipes de Berkeley, San Diego, Washington et Carnegie Mellon, a démontré que l’attaque pouvait être lancée sur cinq appareils : Pixel 6, 7, 8, 9 et Galaxy S25. En laboratoire, la récupération de codes 2FA s’est révélée possible en moins de trente secondes.

Une faille de sécurité sous-estimée par Android ?

Bien que Google ait rapidement réagi, la vulnérabilité pixnapping reste partiellement corrigée. Dans une déclaration relayée par The Hacker News, un porte-parole du géant de Mountain View a précisé : « Nous avons publié un correctif pour CVE-2025-48561 dans le bulletin de sécurité d’Android de septembre 2025, qui atténue partiellement ce comportement. » Cependant, les chercheurs ont réussi à contourner cette première protection simplement en ajustant le minutage de l’attaque. Un second patch, plus complet, est prévu pour la mise à jour d’Android de décembre 2025.

Selon le bulletin de sécurité Android de septembre 2025, la faille reçoit un score CVSS de 5,5, ce qui la classe comme « modérée ». Pourtant, plusieurs experts estiment que ce classement sous-évalue la portée réelle du problème. AndroidPolice note que pixnapping « viole fondamentalement le modèle de sécurité d’Android », car il permet « à n’importe quelle application de capturer visuellement une autre sans autorisation explicite ».

D’après SecurityWeek, le taux de succès dans la récupération de codes 2FA varie de 29 % à 73 % selon le modèle de téléphone. Les Pixel récents apparaissent plus vulnérables, tandis que le Galaxy S25 résiste partiellement, n’ayant pas permis d’extraction complète dans les trente secondes imparties.

Se protéger du pixnapping : limites des correctifs et bonnes pratiques

Face à cette attaque, Google recommande une vigilance accrue. Aucune exploitation « in the wild » — c’est-à-dire dans des conditions réelles — n’a encore été détectée, mais l’entreprise admet que « le vecteur reste exploitable sur les appareils non mis à jour ».

Pour les chercheurs, la clé réside dans une refonte du pipeline graphique. Le site officiel du projet Pixnapping décrit trois étapes d’exploitation :

  1. Forcer le rendu d’une application cible en arrière-plan ;
  2. Induire des opérations graphiques sur des zones précises ;
  3. Extraire les pixels sensibles par corrélation du flux GPU.

Ce mécanisme, purement logiciel, échappe aux outils classiques d’antivirus et ne laisse aucune trace visible. Selon Malwarebytes, « même un utilisateur prudent, sans autoriser d’accès à l’écran, peut voir ses données affichées interceptées ».

Les chercheurs recommandent plusieurs mesures :

  • installer toutes les mises à jour de sécurité Android ;
  • éviter les applications hors Play Store ;
  • limiter l’usage d’applications d’authentification affichant des codes en clair ;
  • préférer la vérification par clé physique ou push 2FA lorsqu’elle est disponible.

Un membre de l’équipe académique résume ainsi le défi : « C’est comme si n’importe quelle application pouvait prendre une capture d’écran des autres, sans autorisation — une violation fondamentale du modèle de sécurité Android ».

Paolo Garoscio
Paolo Garoscio

Rédacteur en chef adjoint. Après son Master de Philosophie, il s'est tourné vers la communication et le journalisme. Il rejoint l'équipe d'EconomieMatin en 2013.   Suivez-le sur Twitter : @PaoloGaroscio

No comment on «Pixnapping : tout comprendre sur la faille Android qui détourne l’affichage des apps»

Leave a comment

* Required fields