Le Galaxy S25, fleuron de Samsung et smartphone haut de gamme censé représenter le summum de la technologie mobile, s'est fait pirater en quelques minutes.
Lors du prestigieux concours de hacking Pwn2Own en Irlande, des experts en sécurité ont révélé une vulnérabilité critique permettant de transformer le téléphone en un parfait outil d'espionnage, le tout sans la moindre interaction de l'utilisateur.
Comment le Galaxy S25 a-t-il été piraté ?
La démonstration a été faite par deux chercheurs d'Interrupt Labs. Lors du concours Pwn2Own 2025, ils ont utilisé une chaîne de cinq failles de type "zero-day" (c'est-à-dire totalement inconnues de Samsung) pour exécuter du code à distance. L'attaque principale reposait sur une "mauvaise vérification des données reçues" par le smartphone. En envoyant un code spécial, ils ont pu contourner toutes les protections logicielles de l'appareil.
Quels sont les risques concrets pour l'utilisateur ?
Le contrôle obtenu est total. Les chercheurs ont prouvé qu'ils pouvaient :
- Activer la caméra et le micro pour enregistrer des vidéos et des conversations.
- Suivre la géolocalisation de l'appareil en temps réel.
- Accéder aux fichiers de l'utilisateur, comme les contacts et les messages.
- Intercepter tout ce qui est tapé sur le clavier, y compris les mots de passe.
Le pire dans ce scénario est que l'attaque est complètement invisible. Aucun voyant n'indique que la caméra ou le micro est actif, et aucune notification n'alerte l'utilisateur.
Samsung a-t-il corrigé le problème ?
Samsung, qui vante sa collaboration avec Google pour renforcer la sécurité de ses appareils, a été immédiatement informé de ces failles par les organisateurs du concours. La bonne nouvelle est que ces vulnérabilités n'ont, a priori, pas été exploitées par des pirates en dehors de cet événement contrôlé. La mauvaise est qu'aucun correctif n'est encore disponible.
Another big confirmation! Ben R. And Georgi G. of Interrupt Labs used an improper input validation bug to take over the Samsung Galaxy S25 - enabling the camera and location tracking in the process. They earn $50,000 and 5 Master of Pwn points. #Pwn2Own pic.twitter.com/oNhdefPR7k
— Trend Zero Day Initiative (@thezdi) October 23, 2025
Le constructeur travaille sur une mise à jour de sécurité, mais celle-ci pourrait ne pas arriver avant le patch de novembre ou décembre. En attendant, les utilisateurs doivent faire preuve de vigilance.
Foire Aux Questions (FAQ)
Qu'est-ce qu'une faille "zero-day" ?
Une faille "zero-day" (ou "jour zéro") est une vulnérabilité logicielle qui est inconnue du fabricant. Elle est particulièrement dangereuse car, au moment où elle est découverte (par des pirates ou des chercheurs), il n'existe aucun correctif (patch) pour s'en protéger.
Qu'est-ce que le concours Pwn2Own ?
C'est une compétition de hacking internationale et réputée où des experts en cybersécurité tentent de pirater des appareils (smartphones, ordinateurs, voitures connectées) en direct. Les chercheurs qui réussissent gagnent des récompenses financières (ici, 50 000 dollars) et transmettent leurs découvertes aux fabricants pour qu'ils corrigent les failles.
Comment puis-je me protéger en attendant le correctif ?
L'attaque ne nécessitant aucune action de l'utilisateur, la protection est difficile. Cependant, le vecteur d'attaque initial passe souvent par un message (email, SMS). Il est donc vital de redoubler de vigilance face aux contenus reçus, même s'ils ne demandent pas de cliquer sur un lien.
