Des chercheurs américains ont mis en lumière une attaque informatique inédite baptisée Pixnapping. Cette technique vise spécifiquement les appareils Android et suscite de vives inquiétudes en matière de sécurité numérique. En jouant sur les pixels de l’écran, elle permettrait à des applis malveillantes de contourner les protections et de mettre la main sur des infos sensibles.
De quoi s’agit-il ?
Pixnapping se présente comme une attaque de « vol de pixel ». Elle a été découverte récemment et consiste à lire ce qui s’affiche sur l’écran des smartphones Android. Les cibles ? Des codes d’authentification à deux facteurs (2FA), des données bancaires, des messages privés, des e-mails et même le contenu d’applis financières. Autrement dit, tout ce qui se voit à l’écran est potentiellement vulnérable.
Son objectif est de subtiliser ces informations, ce qui peut lourdement compromettre la sécurité des utilisateurs. Les chercheurs ont même montré qu’il était possible de récupérer un code unique de Google Authenticator en moins de 30 secondes.
Comment ça marche ?
L’attaque démarre par l’installation d’une appli malveillante sur l’appareil ciblé. Une fois en place, cette appli lance l’application à viser pour afficher les pixels à analyser. Elle ajoute ensuite une opération graphique discrète (un léger flou semi-transparent) qui lui permet, grâce aux signaux VSync d’Android, de mesurer le temps de rendu de chaque pixel et de connaître leur état exact.
La technique repose sur GPU.zip, une approche découverte en 2023 sur PC. Elle utilise un canal supplémentaire sur la carte graphique pour accéder aux données désirées, ce qui soulève des inquiétudes sur l’espionnage numérique. La manœuvre se cache derrière un texte affiché avec une transparence très faible, rendant sa détection compliquée pour l’utilisateur moyen.
Etat des lieux et démonstration
Pour le moment, aucun logiciel malveillant connu n’exploite cette méthode. Toutefois, une application malveillante doit d’abord infecter l’appareil pour que Pixnapping prenne effet. Ce n’est donc pas une attaque « zéro-clic » : l’utilisateur doit interagir avec l’application initiale.
Les chercheurs ont validé cette technique sur plusieurs modèles récents, comme les Google Pixel 6, Pixel 7, Pixel 8, Pixel 9 ainsi que sur un Samsung Galaxy S25. La portée de cette attaque est jugée assez préoccupante puisqu’elle pourrait être adaptée à la plupart des appareils Android actuels.
Réactions et solutions mises en place
Face à cette nouvelle menace, Google a déjà diffusé un correctif pour la faille identifiée sous le code CVE-2025-48561 en septembre dernier et prévoit un autre correctif en décembre. Jusqu’à maintenant, aucune appli malveillante utilisant ce procédé n’a été détectée par Google.
À noter qu’une attaque de ce type nécessite que les cybercriminels aient des infos précises sur l’appareil ciblé. Parmi les institutions impliquées dans ces recherches, on retrouve des universités américaines comme Californie Berkeley, San Diego, Washington et Carnegie Mellon.
