Ledger découvre une faille critique qui expose un quart des smartphones Android

Une faille qui ouvre la porte aux données sensibles Android

Si vous utilisez un smartphone Android, il est peut‑être plus exposé que vous ne le pensez. Le Ledger Donjon, l'équipe de hackers éthiques de Ledger, a découvert une vulnérabilité critique qui permet à un attaquant disposant d’un accès physique au téléphone de compromettre l'appareil, même sans l'allumer.

Cette faille touche certains smartphones Android qui combinent des puces MediaTek et un environnement d'exécution sécurisé Trustonic (TEE). Selon Ledger, ces processeurs alimentent environ un quart des téléphones Android dans le monde, y compris des modèles orientés crypto comme le Solana Seeker.

👉 Retrouvez notre avis sur le Ledger Flex pour en savoir plus sur ce wallet

La faille a été identifiée au niveau de la chaîne de démarrage sécurisé de MediaTek​. Concrètement, un test a été fait au siège de Ledger, à Paris : les hackeurs éthiques de Ledger ont connecté un Android à un ordinateur, et en 45 secondes, sans même l'allumer, ils ont pu récupérer le code PIN, de déchiffrer le stockage du téléphone et récupérer les seed phrases de plusieurs wallets logiciels, dont Trust Wallet, Base, Kraken Wallet, Rabby, Tangem Mobile Wallet et Phantom.

Dès la faille découverte, Ledger a prévenu MediaTek et Trustonic, laissant 90 jours aux deux entreprises pour déployer un correctif avant toute communication publique. MediaTek a tenu ce délai : un patch a été transmis aux fabricants de téléphones concernés le 5 janvier 2026. La vulnérabilité, officiellement référencée CVE-2025-20435, a ensuite été rendue publique le 2 mars. Deux mois de fenêtre pour que les constructeurs intègrent le correctif dans leurs mises à jour, et que les utilisateurs les installent.

Si vous avez un Android et que vous n'avez pas fait vos mises à jour récemment, c'est le moment de le faire.

Smartphones et cryptos : Ledger rappelle qu'un téléphone n'est pas un coffre‑fort

Le Ledger Donjon a mené toute une série de recherches sur la sécurité des téléphones utilisés comme supports de stockage pour des cryptos. L'équipe travaillait au départ sur l'analyse du chiffrement de la mémoire flash d'Android, avant de remonter jusqu'à cette vulnérabilité dans la chaîne de démarrage de MediaTek.

Pour Charles Guillemet, Chief Technology Officer de Ledger, ce cas confirme un risque qu'il avait déjà détecté :

Les smartphones n'ont jamais été conçus pour être des coffres‑forts.

🗞️ Ledger viserait une introduction en bourse pour 4 milliards de dollars de valorisation

Même si cette faille peut être corrigée via une mise à jour, un téléphone reste un appareil conçu pour faire tourner des applications grand public, pas pour protéger des clés cryptographiques : trop de composants peuvent être exploités par les cybercriminels, du firmware au logiciel, en passant par la puce elle-même.