Une faille Android laisse 30 millions de portefeuilles crypto vulnérables aux attaques : analystes de Microsoft

Une mise à jour a été disponible depuis près d’un an, mais des millions d’utilisateurs Android peuvent encore faire fonctionner des applications de portefeuille crypto vulnérables — laissant leurs fonds et clés privées exposés à une faille de sécurité connue.

L’équipe de recherche en sécurité de Microsoft’s Defender a rendu publique la semaine dernière les détails d’une vulnérabilité qu’elle a détectée pour la première fois en avril 2025. La faille se trouvait dans un composant logiciel largement utilisé appelé le SDK EngageLab, version 4.5.4.

Parce que ce SDK est intégré dans des milliers d’applications Android, une seule application malveillante pourrait déclencher une réaction en chaîne qui irait bien au-delà d’elle-même.

Comment fonctionne l’attaque

La méthode s’appelle « redirection d’intention ». L’application d’un attaquant envoie un message spécialement conçu à toute application utilisant la version défectueuse du SDK. Une fois ce message reçu, l’application ciblée est trompée en lui faisant céder un accès en lecture et écriture à ses propres données — y compris les phrases de récupération stockées et les adresses de portefeuille.

Le système de sandbox intégré à Android, qui empêche normalement les applications de voir les données des autres, a été complètement contourné. Selon Microsoft, l’attaque a affecté plus de 50 millions d’applications dans l’écosystème Android, dont environ 30 millions de portefeuilles crypto.

La vulnérabilité ne nécessitait aucune action de la part de l’utilisateur. Pas de liens suspects. Pas de pages de phishing. Il suffisait simplement d’avoir les mauvaises applications installées en même temps.

Réaction de Microsoft et Google

Microsoft a réagi rapidement après sa découverte. En mai 2025, la société avait impliqué Google et l’équipe de sécurité Android dans la réponse. EngageLab a publié une version corrigée — SDK 5.2.1 — peu après.

Des rapports indiquent que Microsoft et Google ont depuis conseillé aux utilisateurs de vérifier si leurs applications de portefeuille ont été mises à jour via Google Play Protect.

Les responsables ont également souligné une préoccupation plus large : les applications installées sous forme de fichiers APK provenant de sources extérieures au Play Store présentent un risque accru, car elles contournent les contrôles de sécurité que Google applique aux applications listées dans sa boutique officielle.

Ce que les utilisateurs doivent faire maintenant

Pour la plupart des utilisateurs qui mettent régulièrement à jour leurs applications, le risque est probablement passé. Mais pour ceux qui n’ont pas mis à jour depuis la mi-2025, l’action recommandée dépasse un simple rafraîchissement d’application.

Les équipes de sécurité conseillent à ces utilisateurs de transférer leurs fonds vers de nouveaux portefeuilles, générés avec de nouvelles phrases de récupération. Tout portefeuille actif et non corrigé durant la période d’exposition doit être considéré comme potentiellement compromis.

Cette divulgation intervient en même temps qu’une autre vulnérabilité liée à un puce Android, signalée le mois précédent, et qu’une nouvelle initiative du Trésor américain qui associe agences gouvernementales et entreprises crypto pour partager des informations sur les menaces en cybersécurité — un signe que la sécurité mobile dans l’espace crypto attire l’attention à plus haut niveau.

Image en vedette de Bleeping Computer, graphique de TradingView