Des chercheurs américains ont révélé une cyberattaque d’un genre inédit, baptisée « Pixnapping », reposant sur le vol de pixels. Cette technique exploite des failles dans le système graphique d’Android et s’avère très efficace sur les modèles les plus récents, dont les Google Pixel et certains Samsung.

C’est une preuve de concept suffisamment édifiante pour mettre sur le qui-vive les équipes de sécurité de Google.

Des chercheurs américains ont mis en place un nouveau type d’attaque, baptisée Pixnapping, qui vise les appareils Android et permet de dérober, en toute discrétion et en moins de 30 secondes, des codes d’authentification à deux facteurs, des historiques de localisation ou d’autres données sensibles.

La technique consiste à analyser les pixels affichés à l’écran pour reconstituer des informations confidentielles. Elle ne nécessite qu’une application malveillante installée sur le smartphone de la victime, sans aucune autorisation particulière ou comportement suspect visible.

Alors qu’un premier correctif a été déployé par Google début septembre 2025, les chercheurs affirment avoir déjà mis au point une variante capable de contourner cette protection. Le 13 octobre, Google indiquait travailler activement sur un nouveau correctif, qui devrait être mis à disposition dès le mois de décembre.

Dans leur démo, disponible au grand public, les chercheurs parviennent à intercepter un code 2FA en moins de 30 secondes // Source : Pixnapping
Dans leur démonstration, disponible au grand public, les chercheurs parviennent à intercepter un code de double authentification en moins de 30 secondes. // Source : Pixnapping

Pixnapping, comment ça marche ?

Le stratagème repose sur le fonctionnement interne d’Android.

bitdefender-logo
Bitdefender new Box
Votre vie privée doit rester privée.
Face aux cyberattaques, déjouez les pronostics. Les nouvelles arnaques sont plus complexes et plus sophistiquées, alors ne devenez pas une victime de plus, il existe des solutions performantes et accessibles.
Je protège ma vie privée simplement

En premier lieu, l’attaquant doit réussir à faire installer sur l’appareil cible une application malveillante, qu’il s’agisse d’une campagne de phishing ou d’une application piégée téléchargée hors du Play Store. Une fois installée, cette application s’appuie sur le système d’Intents d’Android pour forcer une autre application cible à s’ouvrir et à afficher ses données sensibles.

Dès que ces informations apparaissent à l’écran, le cœur du procédé se met en marche : l’application applique un effet graphique très discret, comme un flou semi-transparent, sur des pixels précis de la zone ciblée, puis mesure avec précision le temps nécessaire à leur affichage.

Pourquoi ? Car ce délai varie subtilement selon la couleur ou l’état du pixel d’origine, en raison de la manière dont la puce graphique d’Android gère la compression d’image.

La différence de temps d'affichage entre pixels est au coeur de l'attaque Pixnapping // Source : Rapport d'étude Pixnapping
La différence de temps d’affichage entre pixels est au cœur de l’attaque Pixnapping. // Source : Rapport d’étude Pixnapping

Ce procédé minutieux permet ainsi à l’application malveillante de deviner, bit à bit, la couleur des pixels affichés par une autre application sans y accéder directement.

En répétant l’opération pour chaque pixel d’une zone donnée (par exemple celle où s’affiche le code de validation dans Google Authenticator), le logiciel malveillant peut reconstituer à l’identique le contenu confidentiel présenté à l’utilisateur, comme s’il avait capturé une image invisible et indétectable de l’écran. Et ce, en moins de 30 secondes.

Les équipes de sécurité de Google prennent le sujet au sérieux

Les chercheurs précisent avoir testé Pixnapping sur cinq appareils exécutant Android 13 à 16 : les Google Pixel 6, 7, 8, 9, ainsi que le Samsung Galaxy S25.

D’autres modèles devraient encore être évalués, mais les principes techniques permettant à l’attaque de fonctionner sont communs à la majorité des appareils Android récents.

De son côté, Google affirme qu’aucune exploitation réelle de Pixnapping n’a été observée à ce jour.

Une première tentative de correctif, déployée en septembre, visait à limiter le nombre d’appels à l’API de floutage qu’une application peut effectuer.

Une piste intéressante, mais l’équipe de chercheurs indique avoir découvert une parade à cette mesure, aujourd’hui tenue confidentielle dans l’attente d’un correctif définitif.

Rendez-vous donc en décembre 2025 pour savoir si l’antidote miracle à Pixnapping aura, cette fois, été trouvé.

Découvrez les bonus

+ rapide, + pratique, + exclusif

Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.

Découvrez les nombreux avantages de Numerama+.

S'abonner à Numerama+

Vous avez lu 0 articles sur Numerama ce mois-ci

Il y a une bonne raison de ne pas s'abonner à

Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.

Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :

  • 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
  • 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
  • 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.

Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.

S'abonner à Numerama+
Toute l'actu tech en un clien d'oeil

Toute l'actu tech en un clin d'œil

Ajoutez Numerama à votre écran d'accueil et restez connectés au futur !

Pour ne rien manquer de l’actualité, suivez Numerama sur Google !