Une faille dans le chargeur de démarrage des processeurs MediaTek permet d'accéder aux données d'un smartphone Android en moins d'une minute . Cela inclut le code PIN, le stockage chiffré ou encore les portefeuilles de cryptomonnaies compris. Et il n'y a même pas besoin de démarrer le système d'exploitation.
Des chercheurs de l'équipe Donjon de Ledger ont identifié une vulnérabilité, référencée CVE-2026-20435, dans les appareils Android équipés de puces MediaTek couplées à l'environnement d'exécution sécurisé Trustonic (TEE). En branchant un Nothing CMF Phone 1 à un ordinateur portable via USB, ils ont extrait des données protégées en seulement 45 secondes, sans aucune interaction de l'utilisateur ni privilège particulier.
Quand le verrouillage arrive trop tard
La faille a été repérée au sein du preloader, un composant logiciel qui s'active avant Android lui-même. Son rôle est d'initialiser les composants matériels dès la mise sous tension du téléphone. C'est précisément à ce stade qu'une erreur de logique a été identifiée : le preloader ne vérifie pas si l'entité qui demande accès aux identifiants uniques de l'appareil est bien autorisée à le faire. N'importe quel outil connecté en USB pendant cette phase peut donc lire ces informations sans s'authentifier.
Surtout, l'exploitation ne nécessite pas qu'Android soit démarré ; elle fonctionne même lorsque le téléphone est éteint. Via USB, l'attaque récupère automatiquement le code PIN, déchiffre le stockage interne et extrait les "seed phrases" (phrases de récupération) de plusieurs portefeuilles de cryptomonnaies logiciels. Les applications concernées mentionnées par Ledger comprennent Trust Wallet, Kraken Wallet, Phantom et Rabby. Les données exposées incluent également l'IMEI, les numéros de série et des clés cryptographiques matérielles.
Cette vulnérabilité opère en amont d'Android. Le système d'exploitation n'a alors pas encore chargé ses protections comme la politique d'écran de verrouillage, le chiffrement des données, le contrôle du débogage USB. Un code PIN, une empreinte digitale ou un schéma de déverrouillage ne constituent donc aucune barrière. Seul prérequis : un accès physique au terminal, au bureau, à l'aéroport. La faille est classifiée CWE-522 ("protection insuffisante des identifiants") par le NVD, avec l'identifiant technique ALPS10607099.
MediaTek a publié un correctif dans son bulletin de sécurité de mars 2026 et confirmé avoir fourni les mises à jour aux fabricants dès le 5 janvier 2026. L'équipe Donjon a appliqué une procédure de divulgation responsable de 90 jours en informant MediaTek et Trustonic avant de rendre la vulnérabilité publique. Les utilisateurs d'appareils équipés d'une puce MediaTek sont invités à vérifier auprès de leur fabricant la disponibilité d'une mise à jour de sécurité.
