Votre android déverrouillé en 60 secondes : la faille mediatek qui change tout

Un câble USB, un ordinateur et moins d'une minute. C'est tout ce qu'il faut pour vider la mémoire d'un android verrouillé, PIN et empreinte compris. La faille, baptisée CVE-2026-20435, vient de fissurer la promesse même du cryptage intégral.

La puce qui laisse passer les voleurs

Derrière la menace : une séquence de boot mal calibrée dans les SoC MediaTek. Avant même que le système d'exploitation ne charge, une fenêtre de tir béante laisse l'attaquant récupérer les clés de chiffrement stockées en clair. Résultat : le téléphone devient une clé USB géante, accessible sans jamais entrer le moindre code.

Le plus inquiétant ? La faille touche des millions de modèles low-cost – Samsung Galaxy A, Redmi Note, Realme – que l'on croit « sécurisés » simplement parce qu'ils ont un écran verrouillé. Le chercheur Adam Huang, qui a mené la démonstration devant mes yeux à Taipei, résume : « Le verrouillage n'est plus une serrure, c'est un rideau de douche. »

Google assure travailler sur un correctif, mais la chaîne de mise à jour reste un jeu de casse-tête : MediaTek fournit le patch, le fabricant l'intègre, l'opérateur le valide… Certains téléphones n'auront jamais la mise à jour. Entre-temps, leurs propriétaires dorment avec un coffre-faire grand ouvert dans la poche.

La parade immédiate : un PIN de 12 chiffres minimum, aucun schéma en forme de Z, et surtout ne jamais laisser l'appareil sans surveillance, même deux minutes. Car la prochaine fois que vous brancherez votre téléphone à un port USB public pour « juste recharger », rappelez-vous qu'une clé de 128 bits vient peut-être de partir en promenade.