{"id":1363,"date":"2025-10-14T15:37:26","date_gmt":"2025-10-14T13:37:26","guid":{"rendered":"https:\/\/elearningsamba.com\/index.php\/une-faille-que-personne-ne-veut-reparer-permet-de-voler-vos-codes-2fa\/"},"modified":"2025-10-14T15:37:26","modified_gmt":"2025-10-14T13:37:26","slug":"une-faille-que-personne-ne-veut-reparer-permet-de-voler-vos-codes-2fa","status":"publish","type":"page","link":"https:\/\/elearningsamba.com\/index.php\/une-faille-que-personne-ne-veut-reparer-permet-de-voler-vos-codes-2fa\/","title":{"rendered":"Une faille que personne ne veut r\u00e9parer permet de voler vos codes 2FA"},"content":{"rendered":"<p>Il y a des bugs qu\u2019on corrige en urgence. Et puis il y a GPU.zip, cette faille que TOUS les fabricants de GPU connaissent depuis mars 2023 et que personne n\u2019a jamais voulu fixer.<\/p>\n<p>Et 2 ans et demi plus tard, des chercheurs viennent de prouver qu\u2019elle permettait de voler nos codes 2FA sous Android en moins de 30 secondes !!<\/p>\n<p>Et devinez quoi ?<\/p>\n<p>Y\u2019a toujours pas de patch !<\/p>\n<p>L\u2019histoire commence donc en septembre 2023.<br \/>\n<a href=\"https:\/\/www.hertzbleed.com\/gpu.zip\/\">Des chercheurs de l\u2019Universit\u00e9 du Texas, Carnegie Mellon, et l\u2019Universit\u00e9 de Washington publient GPU.zip<\/a><br \/>\n, une attaque par canal auxiliaire qui exploite la compression graphique hardware des GPU. Le principe c\u2019est qu\u2019en mesurant le temps de rendu de certaines op\u00e9rations graphiques, on peut d\u00e9duire la couleur des pixels affich\u00e9s \u00e0 l\u2019\u00e9cran. Pixel par pixel. Un peu comme prendre une capture d\u2019\u00e9cran, mais sans permission, bien s\u00fbr !<\/p>\n<p>Tous les fabricants de GPU sont donc pr\u00e9venu d\u00e8s mars 2023. AMD, Apple, Arm, Intel, Nvidia, Qualcomm. Mais aucun patch n\u2019a point\u00e9 le bout de son nez. La position officielle des fabricants de GPU \u00e9tant que \u201c<em>C\u2019est au software de g\u00e9rer \u00e7a<\/em>\u201d.<\/p>\n<p>Les navigateurs web colmatent alors la br\u00e8che en limitant les iframes cross-origin, mais la faille hardware elle-m\u00eame n\u2019est jamais corrig\u00e9e. Trop co\u00fbteux. Trop compliqu\u00e9. Pas leur probl\u00e8me\u2026<\/p>\n<p>Maintenant on fait avance rapide en octobre 2025.<br \/>\n<a href=\"https:\/\/www.pixnapping.com\/\">Une \u00e9quipe de 7 chercheurs (UC Berkeley, Carnegie Mellon, Universit\u00e9 de Washington) sort Pixnapping<\/a><br \/>\n, une attaque qui ressuscite GPU.zip sur Android. Le papier sera d\u2019ailleurs pr\u00e9sent\u00e9 \u00e0 la 32nd ACM Conference on Computer and Communications Security qui a lieue cette semaine \u00e0 Taipei. Alan Linghao Wang, Ricardo Paccagnella et leurs coll\u00e8gues on r\u00e9alis\u00e9 une d\u00e9mo o\u00f9 on voit une application Android malveillante voler des codes 2FA, des messages priv\u00e9s, ou n\u2019importe quelle donn\u00e9e affich\u00e9e \u00e0 l\u2019\u00e9cran, sans demander la moindre permission syst\u00e8me.<\/p>\n<div class=\"video-container\">\n<video controls preload=\"none\"><\/p>\n<p>Votre navigateur ne supporte pas la lecture de vid\u00e9os HTML5. Voici un<br \/>\n<a href=\"https:\/\/korben.info\/gpu-zip-pixnapping-android-2fa-faille-non-patchee\/gpu-zip-pixnapping-android-2fa-faille-non-patchee-1.mp4\">lien vers la vid\u00e9o<\/a>.<br \/>\n<\/video><\/p>\n<div>\n<p>L\u2019attaque fonctionne en trois \u00e9tapes. D\u2019abord, l\u2019app malveillante invoque des APIs Android publiques (activities, intents, tasks) pour d\u00e9clencher l\u2019affichage de donn\u00e9es sensibles dans l\u2019app cible. Par exemple, forcer Google Authenticator \u00e0 afficher un code 2FA. Ensuite, elle dessine des fen\u00eatres transparentes par-dessus ces donn\u00e9es et effectue des op\u00e9rations graphiques sur des pixels individuels. Enfin, elle mesure le temps de rendu de chaque frame pour reconstruire les pixels un par un via le canal auxiliaire GPU.zip. C\u2019est lent (entre 0,6 et 2,1 pixels par seconde) mais c\u2019est suffisant.<\/p>\n<p>\n<a href=\"https:\/\/www.cylab.cmu.edu\/news\/2025\/10\/13-pixnapping.html\">Les chercheurs ont test\u00e9 l\u2019attaque sur plusieurs mod\u00e8les Google Pixel et Samsung Galaxy S25<\/a><br \/>\net sur 100 tentatives de vol de codes 2FA depuis Google Authenticator, le Pixel 6 se montre particuli\u00e8rement vuln\u00e9rable avec un taux de r\u00e9ussite des attaques de 73% en seulement 14,3 secondes en moyenne. Le Pixel 7 offre une meilleure r\u00e9sistance avec 53% de r\u00e9ussite en 25,8 secondes, tandis que le Pixel 8 fait encore mieux en limitant les attaques r\u00e9ussies \u00e0 29% en 24,9 secondes. Curieusement, le Pixel 9 r\u00e9gresse et remonte \u00e0 53% de vuln\u00e9rabilit\u00e9 en 25,3 secondes. Par contre, le Galaxy S25 se distingue compl\u00e8tement en bloquant syst\u00e9matiquement toutes les tentatives d\u2019attaque gr\u00e2ce au bruit pr\u00e9sent dans les mesures qui emp\u00eache toute exploitation.<\/p>\n<p>Les vieux appareils sont donc plus vuln\u00e9rables que les nouveaux, ce qui est probablement li\u00e9 aux premi\u00e8res g\u00e9n\u00e9rations de GPU Tensor de Google, moins optimis\u00e9es, plus pr\u00e9visibles.<\/p>\n<p>Google attribue une CVE \u00e0 cette attaque (CVE-2025-48561), class\u00e9e \u201cHigh Severity\u201d et un patch partiel est publi\u00e9 dans le bulletin de s\u00e9curit\u00e9 Android de septembre. Mais les chercheurs ont rapidement trouv\u00e9 un contournement, qui est actuellement sous embargo. Un second patch est donc pr\u00e9vu pour d\u00e9cembre. Entre-temps,<br \/>\n<a href=\"https:\/\/arstechnica.com\/security\/2025\/10\/no-fix-yet-for-attack-that-lets-hackers-pluck-2fa-codes-from-android-phones\/\">Google affirme qu\u2019aucune exploitation \u201cin-the-wild\u201d n\u2019a \u00e9t\u00e9 d\u00e9tect\u00e9e<\/a><br \/>\npour l\u2019instant.<\/p>\n<p>Le mod\u00e8le de s\u00e9curit\u00e9 Android repose sur l\u2019id\u00e9e qu\u2019une app sans permissions ne peut rien faire de dangereux. Pixnapping utilise uniquement des APIs publiques l\u00e9gitimes donc y\u2019a rien de suspect dans le manifest, qui d\u00e9clencherait une alerte Play Protect\u2026 Et pourtant, elle peut voler des codes 2FA.<\/p>\n<p>Les recommandations de s\u00e9curit\u00e9 sont donc les m\u00eames depuis 2023 \u00e0 savoir scruter attentivement les apps install\u00e9es, privil\u00e9gier les cl\u00e9s de s\u00e9curit\u00e9 hardware pour la 2FA (YubiKey, Titan), surveiller les comportements anormaux.<\/p>\n<p>Apr\u00e8s, je pense pas que beaucoup d\u2019utilisateurs d\u2019Android vont investir dans une cl\u00e9 hardware \u00e0 50 balles parce que Nvidia a la flemme de patcher son GPU.<\/p>\n<p>Bienvenue dans la r\u00e9alit\u00e9 de la s\u00e9curit\u00e9 mobile les amis.<\/p>\n<p>\n<a href=\"https:\/\/arstechnica.com\/security\/2025\/10\/no-fix-yet-for-attack-that-lets-hackers-pluck-2fa-codes-from-android-phones\/\">Source<\/a>\n<\/p>\n<\/div>\n<\/div>\n","protected":false},"excerpt":{"rendered":"<p>Il y a des bugs qu\u2019on corrige en urgence. Et puis il y a GPU.zip, cette faille que TOUS les fabricants de GPU connaissent depuis mars 2023 et que personne n\u2019a jamais voulu fixer. Et 2 ans et demi plus tard, des chercheurs viennent de prouver qu\u2019elle permettait de voler nos codes 2FA sous Android en moins de 30 secondes !! Et devinez quoi ? Y\u2019a toujours pas de patch ! L\u2019histoire commence donc en septembre 2023. Des chercheurs de l\u2019Universit\u00e9 du Texas, Carnegie Mellon, et l\u2019Universit\u00e9 de Washington publient GPU.zip , une attaque par canal auxiliaire qui exploite la compression graphique hardware des GPU. Le principe c\u2019est qu\u2019en mesurant le temps de rendu de certaines op\u00e9rations graphiques, on peut d\u00e9duire la couleur des pixels affich\u00e9s \u00e0 l\u2019\u00e9cran. Pixel par pixel. Un peu comme prendre une capture d\u2019\u00e9cran, mais sans permission, bien s\u00fbr ! Tous les fabricants de GPU sont donc pr\u00e9venu d\u00e8s mars 2023. AMD, Apple, Arm, Intel, Nvidia, Qualcomm. Mais aucun patch n\u2019a point\u00e9 le bout de son nez. La position officielle des fabricants de GPU \u00e9tant que \u201cC\u2019est au software de g\u00e9rer \u00e7a\u201d. Les navigateurs web colmatent alors la br\u00e8che en limitant les iframes cross-origin, mais la faille hardware elle-m\u00eame n\u2019est jamais corrig\u00e9e. Trop co\u00fbteux. Trop compliqu\u00e9. Pas leur probl\u00e8me\u2026 Maintenant on fait avance rapide en octobre 2025. Une \u00e9quipe de 7 chercheurs (UC Berkeley, Carnegie Mellon, Universit\u00e9 de Washington) sort Pixnapping , une attaque qui ressuscite GPU.zip sur Android. Le papier sera d\u2019ailleurs pr\u00e9sent\u00e9 \u00e0 la 32nd ACM Conference on Computer and Communications Security qui a lieue cette semaine \u00e0 Taipei. Alan Linghao Wang, Ricardo Paccagnella et leurs coll\u00e8gues on r\u00e9alis\u00e9 une d\u00e9mo o\u00f9 on voit une application Android malveillante voler des codes 2FA, des messages priv\u00e9s, ou n\u2019importe quelle donn\u00e9e affich\u00e9e \u00e0 l\u2019\u00e9cran, sans demander la moindre permission syst\u00e8me. Votre navigateur ne supporte pas la lecture de vid\u00e9os HTML5. Voici un lien vers la vid\u00e9o. L\u2019attaque fonctionne en trois \u00e9tapes. D\u2019abord, l\u2019app malveillante invoque des APIs Android publiques (activities, intents, tasks) pour d\u00e9clencher l\u2019affichage de donn\u00e9es sensibles dans l\u2019app cible. Par exemple, forcer Google Authenticator \u00e0 afficher un code 2FA. Ensuite, elle dessine des fen\u00eatres transparentes par-dessus ces donn\u00e9es et effectue des op\u00e9rations graphiques sur des pixels individuels. Enfin, elle mesure le temps de rendu de chaque frame pour reconstruire les pixels un par un via le canal auxiliaire GPU.zip. C\u2019est lent (entre 0,6 et 2,1 pixels par seconde) mais c\u2019est suffisant. Les chercheurs ont test\u00e9 l\u2019attaque sur plusieurs mod\u00e8les Google Pixel et Samsung Galaxy S25 et sur 100 tentatives de vol de codes 2FA depuis Google Authenticator, le Pixel 6 se montre particuli\u00e8rement vuln\u00e9rable avec un taux de r\u00e9ussite des attaques de 73% en seulement 14,3 secondes en moyenne. Le Pixel 7 offre une meilleure r\u00e9sistance avec 53% de r\u00e9ussite en 25,8 secondes, tandis que le Pixel 8 fait encore mieux en limitant les attaques r\u00e9ussies \u00e0 29% en 24,9 secondes. Curieusement, le Pixel 9 r\u00e9gresse et remonte \u00e0 53% de vuln\u00e9rabilit\u00e9 en 25,3 secondes. Par contre, le Galaxy S25 se distingue compl\u00e8tement en bloquant syst\u00e9matiquement toutes les tentatives d\u2019attaque gr\u00e2ce au bruit pr\u00e9sent dans les mesures qui emp\u00eache toute exploitation. Les vieux appareils sont donc plus vuln\u00e9rables que les nouveaux, ce qui est probablement li\u00e9 aux premi\u00e8res g\u00e9n\u00e9rations de GPU Tensor de Google, moins optimis\u00e9es, plus pr\u00e9visibles. Google attribue une CVE \u00e0 cette attaque (CVE-2025-48561), class\u00e9e \u201cHigh Severity\u201d et un patch partiel est publi\u00e9 dans le bulletin de s\u00e9curit\u00e9 Android de septembre. Mais les chercheurs ont rapidement trouv\u00e9 un contournement, qui est actuellement sous embargo. Un second patch est donc pr\u00e9vu pour d\u00e9cembre. Entre-temps, Google affirme qu\u2019aucune exploitation \u201cin-the-wild\u201d n\u2019a \u00e9t\u00e9 d\u00e9tect\u00e9e pour l\u2019instant. Le mod\u00e8le de s\u00e9curit\u00e9 Android repose sur l\u2019id\u00e9e qu\u2019une app sans permissions ne peut rien faire de dangereux. Pixnapping utilise uniquement des APIs publiques l\u00e9gitimes donc y\u2019a rien de suspect dans le manifest, qui d\u00e9clencherait une alerte Play Protect\u2026 Et pourtant, elle peut voler des codes 2FA. Les recommandations de s\u00e9curit\u00e9 sont donc les m\u00eames depuis 2023 \u00e0 savoir scruter attentivement les apps install\u00e9es, privil\u00e9gier les cl\u00e9s de s\u00e9curit\u00e9 hardware pour la 2FA (YubiKey, Titan), surveiller les comportements anormaux. Apr\u00e8s, je pense pas que beaucoup d\u2019utilisateurs d\u2019Android vont investir dans une cl\u00e9 hardware \u00e0 50 balles parce que Nvidia a la flemme de patcher son GPU. Bienvenue dans la r\u00e9alit\u00e9 de la s\u00e9curit\u00e9 mobile les amis. Source<\/p>\n","protected":false},"author":1,"featured_media":1364,"parent":0,"menu_order":0,"comment_status":"closed","ping_status":"closed","template":"","meta":{"give_campaign_id":0,"_monsterinsights_skip_tracking":false,"_monsterinsights_sitenote_active":false,"_monsterinsights_sitenote_note":"","_monsterinsights_sitenote_category":0,"_kadence_starter_templates_imported_post":false,"footnotes":""},"class_list":["post-1363","page","type-page","status-publish","has-post-thumbnail","hentry"],"campaignId":"","_links":{"self":[{"href":"https:\/\/elearningsamba.com\/index.php\/wp-json\/wp\/v2\/pages\/1363","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/elearningsamba.com\/index.php\/wp-json\/wp\/v2\/pages"}],"about":[{"href":"https:\/\/elearningsamba.com\/index.php\/wp-json\/wp\/v2\/types\/page"}],"author":[{"embeddable":true,"href":"https:\/\/elearningsamba.com\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/elearningsamba.com\/index.php\/wp-json\/wp\/v2\/comments?post=1363"}],"version-history":[{"count":0,"href":"https:\/\/elearningsamba.com\/index.php\/wp-json\/wp\/v2\/pages\/1363\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/elearningsamba.com\/index.php\/wp-json\/wp\/v2\/media\/1364"}],"wp:attachment":[{"href":"https:\/\/elearningsamba.com\/index.php\/wp-json\/wp\/v2\/media?parent=1363"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}