Si vous possédez un smartphone OnePlus, une nouvelle qui risque de vous glacer le sang vient de tomber. Des chercheurs de la société de cybersécurité Rapid7 ont identifié une vulnérabilité majeure, référencée CVE-2025-10184, dans OxygenOS, la surcouche Android de la marque. Cette faille, présente depuis la version 12 du système d'exploitation sortie en 2021, transforme votre messagerie en un livre ouvert pour n'importe quelle application installée sur votre téléphone.
Le danger : vos codes de sécurité à la portée de tous
Le risque posé par cette vulnérabilité va bien au-delà d'une simple atteinte à votre vie privée. En ayant accès à l'intégralité de vos SMS, une application malveillante peut intercepter des informations extrêmement sensibles. La menace la plus directe concerne vos codes d'authentification à deux facteurs (2FA), ces fameux sésames envoyés par votre banque ou vos réseaux sociaux pour valider une connexion. Un pirate qui posséderait déjà votre mot de passe pourrait ainsi contourner cette sécurité et prendre le contrôle total de vos comptes. C'est toute votre vie numérique qui est en danger.
L'origine de la faille : une modification hasardeuse d'Android
Comment une telle défaillance a-t-elle pu se produire ? Selon le rapport de Rapid7, le problème vient d'une modification apportée par OnePlus au système Android. Au lieu d'utiliser le module de gestion des SMS standard et sécurisé d'Android, la marque a implémenté ses propres composants. Malheureusement, ces modules maison n'ont pas été codés correctement et n'intègrent pas les permissions de sécurité de base. Le résultat est une porte grande ouverte : n'importe quelle application, même la plus anodine, peut aller piocher dans la base de données de vos messages sans jamais vous en demander l'autorisation.
Un silence radio inquiétant de la part de OnePlus
Le plus préoccupant dans cette affaire est peut-être la réaction de OnePlus. Les chercheurs de Rapid7 ont tenté de contacter le fabricant à sept reprises entre mai et août 2025 pour l'alerter, sans jamais obtenir de réponse. Ce n'est qu'après la publication publique de la faille en septembre que OnePlus a daigné réagir en annonçant le lancement d'une « investigation ». À l'heure actuelle, aucun correctif n'a été déployé, et la marque continue de vendre des appareils vulnérables en toute connaissance de cause.
Comment se protéger en attendant un correctif ?
Puisqu'il n'existe pas de mise à jour de sécurité pour le moment, la prudence est de mise pour tous les possesseurs d'appareils OnePlus tournant sous OxygenOS 12, 13, 14 ou 15. Voici quelques conseils pour limiter les risques :
- Faites le tri dans vos applications : Ne conservez que les applications dont vous avez réellement besoin et qui proviennent d'éditeurs de confiance. Supprimez tout le reste.
- Abandonnez l'authentification par SMS : Privilégiez les applications d'authentification (comme Google Authenticator ou Authy) pour générer vos codes 2FA. C'est une méthode bien plus sécurisée.
- Utilisez des messageries chiffrées : Pour vos conversations sensibles, délaissez les SMS au profit d'applications chiffrées de bout en bout comme Signal ou WhatsApp.
