Une nouvelle tactique permet de contourner la double authentification sur les smartphones Android. Baptisée « Pixnapping », elle repose sur les pixels qui composent l’écran tactile de votre smartphone.
On présente souvent la double authentification comme la protection absolue contre les cyberattaques. De plus en plus répandu, ce système de sécurité ajoute un second facteur pour accéder à vos comptes. En plus du mot de passe, il vous faudra saisir un code reçu par SMS, par e-mail ou via une application dédiée. De cette manière, les attaquants qui ont mis la main sur vos identifiants ne pourront pas accéder à votre compte. Malheureusement, les hackers ont progressivement développé des tactiques pour contourner l’authentification à deux facteurs.
La dernière technique en date repose sur les pixels de l’écran de votre smartphone. Baptisée « Pixnapping » par les chercheurs de plusieurs universités américaines, elle consiste à espionner tout ce qui se passe sur l’écran de votre téléphone Android en détectant les pixels.
À lire aussi : Un virus espion « alarmant » se fait passer pour WhatsApp, Google Photos, TikTok et YouTube
Comment les pixels révèlent les codes de double authentification ?
Comme souvent, la cyberattaque commence par l’installation d’une application Android malveillante. Une fois bien installée, elle va forcer une application dédiée à la double authentification à afficher un code de connexion à l’écran. L’application peut aussi obliger une messagerie à afficher un code reçu par SMS. Des informations sensibles, permettant de se connecter à un compte en ligne, vont donc apparaitre à l’écran.
L’application pirate va alors se servir des pixels pour déterminer les chiffres qui sont affichés sur l’écran tactile. L’app ne lit ce qu’il se trouve à l’écran. En fait, elle va calculer, pixel par pixel, combien de temps le téléphone met à dessiner chaque point du code de connexion. Selon la couleur ou la forme du pixel, le temps est susceptible de varier. C’est en s’appuyant sur le temps enregistré que l’application devine le code de connexion. L’application sait à l’avance à quels endroits précis de l’écran sont affichées les informations qu’elle recherche, ce qui facilite l’opération.
Les chercheurs ont pu démontrer que leur tactique fonctionnait sur des smartphones Pixel et des Galaxy de Samsung. Selon les chercheurs, toute application malveillante est capable de voler des codes envoyés par Google Authenticator « en moins de 30 secondes », tout en restant invisible pour l’utilisateur. Il est important que l’attaque ne prenne pas plus de 30 secondes. Certains apps, comme celles de double authentification, changent de code toutes les 30 secondes par mesure de sécurité. En visant les pixels, les chercheurs ont pu deviner une centaine de codes de connexion. C’est comme « si l’application malveillante prenait une capture d’écran du contenu de l’écran auquel elle ne devrait pas avoir accès », résume Alan Linghao Wang, auteur principal de la recherche, dans une interview accordée à Ars Technica.
Plus largement, il est possible de voler des informations sensibles provenant de sites Web, comme Gmail, de comptes Google et d’applications telles que Signal, Venmo ou encore Google Maps. Tout « ce qui est visible lorsque l’application cible est ouverte peut être volé », comme des messages, des mots de passe ou des mails. C’est un nouvel outil d’espionnage à grande échelle. Les « mécanismes de base permettant l’attaque sont généralement disponibles sur tous les appareils Android », soulignent les experts. Personne n’est à l’abri.
D’un point de vue technique, la technique exploite des traces laissées par la compression dans les cartes graphiques. Ce phénomène est évoqué sous le nom de « GPU.zip ». En croisant ces traces avec de la lecture automatique de texte (OCR), on peut reconstituer des chiffres, des mots ou des parties d’interface. Android a récemment ajouté des protections contre l’accès aux traces, mais la faille n’est pas encore complétement colmatée.
Google prend des mesures contre le « Pixnapping »
Alerté par les chercheurs en février dernier, Google a déployé un correctif. Le géant de Mountain View indique avoir intégré un correctif dans la mise à jour de sécurité Android du mois de septembre 2025. Ce correctif « atténue partiellement » le problème. Malheureusement, les chercheurs ont vite trouvé « une solution de contournement pour faire fonctionner Pixnapping malgré ce correctif ».
Conscient des risques, Google s’est engagé à ajouter un second correctif dans la mise à jour de sécurité prévue en décembre. Par ailleurs, Google assure n’avoir enregistré aucune preuve que des pirates exploitent activement la tactique pour pirater les smartphones Android. On vous recommande néanmoins d’installer les mises à jour proposées par Google dès que possible.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source :
Pixnapping