La cybersécurité est un sujet prégnant dans notre ère numérique, mais certains incidents restent étrangement ignorés par les acteurs majeurs de l’industrie. Parmi ces incidents, la faille GPU.zip, identifiée pour la première fois en mars 2023, est restée sans solution pendant plus de deux ans. Les chercheurs de plusieurs universités, dont celles du Texas, de Carnegie Mellon et de Washington, ont récemment démontré que cette vulnérabilité permettait de voler des codes d’authentification à deux facteurs (2FA) sur des appareils Android en moins de 30 secondes. Malgré un potentiel aussi alarmant, aucun correctif n’a été émis par les fabricants de GPU concernés.
L’attaque GPU.zip repose sur une méthode ingénieuse qui exploite la compression graphique matérielle des GPU. En mesurant le temps de rendu des opérations graphiques, un attaquant peut déduire les couleurs des pixels rendus à l’écran, rendant possible la “capture d’écran” sans autorisation. Bien que tous les principaux fabricants de GPU tels que AMD, Apple, Intel, Nvidia, et Qualcomm aient été informés de la faille dès son identification, leur réponse a été d’affirmer que la responsabilité de corriger cette vulnérabilité incombait aux développeurs de logiciels, laissant ainsi les utilisateurs vulnérables.
La réalité de la sécurité mobile est que les vulnérabilités ne sont pas seulement techniques, mais aussi le reflet d’un manque de volonté de corriger des failles critiques.
Avec l’arrivée d’octobre 2025, une nouvelle équipe de chercheurs a pris la relève avec une attaque baptisée “Pixnapping”, qui cible spécifiquement Android et ressuscite le spectre de GPU.zip. Présentée à la 32e conférence ACM sur la sécurité des communications, cette attaque démontre comment une application malveillante peut récupérer des données sensibles, y compris des codes 2FA, sans demander la moindre permission. En exploitant des API publiques d’Android, les chercheurs ont pu afficher des données critiques sur l’écran et, en combinant cette méthode avec des manipulations graphiques, mesurer le temps de rendu pour reconstruire les pixels d’informations volées.
Les tests menés sur plusieurs modèles d’appareils Google Pixel et de Samsung montrent des résultats variés en termes de vulnérabilité. Le Pixel 6 s’est avéré particulièrement faible, avec un taux de réussite des attaques de 73 % en moyenne de 14,3 secondes. En comparaison, le Pixel 7 et le Pixel 8 présentent une meilleure résistance, tandis que le Galaxy S25 se démarque en bloquant toutes les tentatives d’attaque. Ce contraste met en lumière les implications des progrès technologiques, où les anciens appareils sont souvent plus à risque en raison de la prévisibilité de leurs GPU.
Bien que Google ait attribué une identification CVE à cette attaque, pouvant impacter gravement la sécurité des utilisateurs, le correctif partiel publié a rapidement été contourné par les chercheurs. La question des mesures de sécurité à adopter reste donc essentielle; en attendant un véritable patch, il est conseillé de prendre des précautions telles que surveiller les applications installées et envisager l’utilisation de clés de sécurité matérielles pour la protection des comptes. Malheureusement, beaucoup d’utilisateurs choisiront probablement de ne pas investir dans des solutions de sécurité robustes tant que les gros acteurs du marché restent inactifs face aux vulnérabilités qu’ils ont eux-mêmes contribué à créer.
