Un nouveau terme fait fureur en cybersécurité mobile : le « pixnapping ». Cette attaque, dont le nom est une combinaison de « pixel » et « kidnapping », s'est avérée capable de capturer l'affichage sur un écran Android et, entre autres, voler des codes de vérification authentification à deux facteurs sans éveiller les soupçons.
Le plus inquiétant est que, selon les chercheurs qui l'ont présentée, l'attaque est exécutée en quelques secondes et ne nécessite aucune autorisation spéciale. Autrement dit, une application apparemment inoffensive, installée par l'utilisateur lui-même, peut lire les informations visibles sur l'écran d'autres applications et extraire des données sensibles telles que des messages privés, des cartes ou des codes 2FA temporaires.
Qu'est-ce que le Pixnapping et pourquoi est-ce particulièrement inquiétant ?
Le pixnapping est une technique qui exploite la combinaison d'API Android légitimes et d'un canal auxiliaire matériel. Cette combinaison permet aux attaquants d'observer, de reconstituer et de filtrer l'affichage sur l'écran de l'appareil, leur permettant ainsi de capturer des données en temps réel depuis pratiquement n'importe quelle application tant que les informations sont visibles.
L'une des caractéristiques distinctives de cette attaque est que l'application malveillante ne requiert aucune autorisation. Elle ne requiert ni accessibilité, ni lecture de notifications, ni captures d'écran. Cependant, elle parvient à exploiter les mécanismes du système et les signaux physiques pour atteindre son objectif : lis ce que tu vois toi, sans que tu t'en rendes compte.
Des chercheurs ont montré qu'en moins de 30 secondes, Pixnapping peut voler des codes temporaires comme ceux de Google Authenticator, et ce, de manière furtive. Pendant ce temps, l'utilisateur peut, par exemple, ouvrir ses e-mails ou consulter une carte, et l'application malveillante peut alors les intercepter. extraire le code 2FA sans afficher d'écrans étranges ou de notifications étranges.
Une nuance importante : si une clé ou un secret n'est jamais dessiné à l'écran, Pixnapping ne peut pas se l'approprier. Par conséquent, clés hors de vue (comme les secrets TOTP stockés et non affichés) ne sont pas directement menacés par cette méthode. Le danger réside dans ce qui est rendu et visible à l'œil nu.
Pour tester sa portée, l'équipe de recherche a mené des attaques sur plusieurs modèles Google et Samsung. Plus précisément, elle a été validée sur les Google Pixel 6, Pixel 7, Pixel 8 et Pixel 9, ainsi que sur un Samsung Galaxy S25. Les tests comprenaient l'extraction de données sensibles provenant de sites et d'applications tels que Gmail, comptes Google, Signal, Google Authenticator, Venmo et Google Maps, démontrant que le vecteur est large et ne se limite pas à un seul fabricant ou à une seule application.
Comment il vole les codes 2FA et autres données qui apparaissent à l'écran
Lorsque vous ouvrez une application d'authentification ou recevez un code à usage unique et qu'il s'affiche sur l'appareil, Pixnapping peut le détecter et le reconstituer suffisamment efficacement pour le voler. Son efficacité repose sur l'observation des schémas de rendu et des signaux associés au processus de dessin. le contenu visible est la principale surface d'attaque.
Cela explique pourquoi cela fonctionne avec les codes TOTP générés par les applications d'authentification, ainsi qu'avec les OTP qui apparaissent dans les messages, les notifications ou les fenêtres contextuelles. En bref : si vous le voyez sur votre écran, l'attaquant peut… faire une copie par cette approche.
Correctifs et atténuations : ce que Google a fait et ce qui reste à venir
Pour tenter de stopper ce vecteur, Google a publié un correctif identifié comme CVE-2025-48561. Cependant, les chercheurs eux-mêmes ont constaté que, même avec cette mise à jour installée, Pixnapping fonctionnait toujours Lors de leurs tests, ce n'est pas la première fois qu'un tel phénomène se produit avec de nouvelles attaques : l'atténuation initiale réduit une partie du risque, mais ne ferme pas complètement la porte.
Google a annoncé la publication d'une contre-mesure supplémentaire dans le bulletin de sécurité Android de décembre. En attendant ce correctif, il est conseillé de prendre des précautions extrêmes : évitez d'installer des applications hors de la boutique officielle, contactez des développeurs inconnus et, en cas de doute, désinstaller le fichier suspect. Activez Google Play Protect, préférez applications antivol et maintenez le système à jour et limitez, autant que possible, l'affichage prolongé de vos codes 2FA à l'écran.
En plus de la couche de mise à jour, il est conseillé de miser sur méthodes d'authentification qui ne reposent pas sur des codes visibles. Par exemple, les clés de sécurité physiques FIDO ou pousser les approbations Au lieu d'afficher les codes TOTP sous forme de chiffres, lorsque le service le permet. Réduire la durée d'affichage d'un code et minimiser les notifications au contenu sensible contribue également à réduire l'exposition.
Au-delà du Pixnapping : les techniques de détournement et de vol de code sont en plein essor
Le vol de code et de session n'est pas exclusif à Android ni à cette attaque. Parallèlement, des techniques telles que le QRLjacking, le détournement de session web et la fraude à WhatsApp et aux codes QR prolifèrent. Elles partagent toutes un même objectif : exploiter la confiance des utilisateurs pour… se faufiler dans votre identité comptes numériques et d'accès ou d'argent.
QRLJacking et fraude au code QR
Le QRLjacking consiste à inciter l'utilisateur à scanner un code QR apparemment légitime, mais qui le redirige vers un site contrôlé par l'attaquant. Dans certains services, ce code QR est utilisé pour se connecter ou créer une session, permettant ainsi à la victime, sans le savoir, livrez votre session au criminel. Cette approche repose sur la confiance que nous accordons aux codes QR, fruit de notre utilisation quotidienne : menus de restaurant, paiements, réseaux Wi-Fi ou enregistrement.
Il existe plusieurs variantes de la fraude au QR Code. L'une d'elles est connue sous le nom de QR Code Jacking : l'attaquant colle un faux QR code sur l'authentique, par exemple sur des parcmètres, des bornes de recharge ou des panneaux. L'utilisateur pense payer son stationnement, mais atterrit sur un site web cloné. vole des cartesCe type d’arnaque s’est déjà produit sur des sites réels, les conducteurs étant redirigés vers des sites Web frauduleux où leurs données finissaient entre les mains d’escrocs.
Une autre méthode est le quishing : des e-mails contenant de faux codes QR semblant provenir de banques ou d'agences gouvernementales. Ils vous invitent à vérifier vos informations, à profiter d'une offre ou à résoudre un problème. Le code QR vous redirige alors vers un faux site où vous êtes invité à effectuer les actions suivantes. Ils demandent des informations d'identification ou des informations personnelles. Des applications de numérisation de codes QR ont également été détectées dans les magasins officiels contenant des logiciels malveillants, comme ce fut le cas avec Barcode Scanner à son époque.
Pour réduire les risques liés aux codes QR : vérifiez la source avant de scanner, utilisez des applications fiables et désactivez l’ouverture automatique des liens. Vérifiez si le code QR semble superposé ou imprimé sur un autre support. En cas de doute, ouvrez le site web en le saisissant dans le navigateur au lieu de suivre le code QR. Dans les environnements physiques, les entreprises et les événements, vérifier périodiquement les codes QR qui sont montrés au public.
Détournement de session Web : comment cela fonctionne et pourquoi c'est si dangereux
Lorsque vous vous connectez à un site web ou à une application, le serveur crée une session et vous attribue un identifiant, souvent via un cookie temporaire. Cet identifiant maintient votre authentification jusqu'à votre déconnexion ou son expiration. Si un attaquant parvient à obtenir cet identifiant, il peut… se faire passer pour toi et accédez à tout comme si vous étiez l'utilisateur légitime.
Les vecteurs d'attaque sont multiples. Le cross-site scripting (XSS) injecte un script qui force le navigateur à révéler le cookie ou le jeton de session. Le détournement de session latéral, ou sniffing, surveille le trafic sur les réseaux Wi-Fi ouverts ou utilise une technique d'interception pour capturer les cookies non chiffrés. La fixation de session force la victime à se connecter avec un identifiant prédéfini que l'attaquant connaît déjà, puis à se connecter. connectez-vous à votre compteL'homme du navigateur infecte l'ordinateur avec un cheval de Troie qui modifie les transactions à la volée. Et il existe des jetons prévisibles : si un serveur génère des identifiants avec des modèles, ceux-ci peuvent être déduits par force brute.
Ce problème est différent du détournement de session. Dans le cas d'un détournement de session, l'utilisateur est déjà connecté et l'attaquant prend le contrôle d'une session réelle, ce qui peut entraîner des comportements étranges ou des erreurs pour l'utilisateur. En revanche, dans le cas d'une usurpation d'identité, l'attaquant prend le contrôle d'une session réelle. créer une nouvelle session se faisant passer pour l'utilisateur, sans que celui-ci ne remarque quoi que ce soit à ce moment-là.
Les conséquences sont considérables : vol d'identité, transactions frauduleuses, installation de logiciels malveillants, attaques par déni de service ou accès en chaîne aux systèmes lorsque l'authentification unique (SSO) est en place. Pendant la pandémie, les attaques Zoom bombing sont devenues monnaie courante, des intrus s'introduisant dans des appels vidéo privés. Des vulnérabilités ont également été signalées, comme celle de Slack en 2019, qui permettait le vol de cookies via des redirections, ou celle de GitLab en 2017, utilisant des jetons. exposé dans les URL et persistant.
Bonnes pratiques : Évitez d'utiliser les réseaux Wi-Fi publics pour vos opérations bancaires, vos achats ou vos e-mails ; s'il n'y a pas d'alternative, utiliser un VPNMéfiez-vous des liens contenus dans les e-mails non sollicités et vérifiez que le site web utilise le protocole HTTPS. Maintenez votre antivirus à jour et configurez vos services avec l'authentification multifacteur (MFA), les politiques de confidentialité, etc. expiration de la session et revue des appareils connectés.
Ce problème est différent du détournement de session. Dans le cas d'un détournement de session, l'utilisateur est déjà connecté et l'attaquant prend le contrôle d'une session réelle, ce qui peut entraîner des comportements étranges ou des erreurs pour l'utilisateur. En revanche, dans le cas d'une usurpation d'identité, l'attaquant prend le contrôle d'une session réelle. créer une nouvelle session se faisant passer pour l'utilisateur, sans que celui-ci ne remarque quoi que ce soit à ce moment-là.
Les conséquences sont considérables : vol d'identité, transactions frauduleuses, installation de logiciels malveillants, attaques par déni de service ou accès en chaîne aux systèmes lorsque l'authentification unique (SSO) est en place. Pendant la pandémie, les attaques Zoom bombing sont devenues monnaie courante, des intrus s'introduisant dans des appels vidéo privés. Des vulnérabilités ont également été signalées, comme celle de Slack en 2019, qui permettait le vol de cookies via des redirections, ou celle de GitLab en 2017, utilisant des jetons. exposé dans les URL et persistant.
Bonnes pratiques : Évitez d'utiliser les réseaux Wi-Fi publics pour vos opérations bancaires, vos achats ou vos e-mails ; à défaut, utilisez un VPN. Méfiez-vous des liens contenus dans les e-mails non sollicités et vérifiez que le site web utilise le protocole HTTPS. Maintenez votre antivirus à jour et configurez vos services avec l'authentification multifacteur et les politiques de confidentialité. expiration de la session et revue des appareils connectés.
Si vous détectez des fraudes ou des sites malveillants, signalez-les à Inteco, à la Police nationale ou à la Garde civile. Plus les alertes sont nombreuses, plus vite elles pourront être supprimées. campagnes de blocage.
Vol d'identité et vol de compte : du quotidien au critique
L'Office de sécurité Internet (OSI), un canal INCIBE, a constaté une augmentation des cas d'usurpation d'identité et de vol de comptes. Ce phénomène se divise en deux grandes catégories : l'accès non autorisé à des comptes réels (par le biais de mots de passe volés, d'hameçonnage ou de logiciels malveillants) et création de faux profils qui imitent des personnes ou des entités pour tromper des tiers.
Sur WhatsApp, une fraude en chaîne se distingue : le criminel vous contacte en se faisant passer pour une connaissance et vous demande de lui renvoyer un code à six chiffres prétendument arrivé par erreur. En réalité, ce code vous permet d'enregistrer votre compte sur un autre appareil. Après l'avoir saisi, l'attaquant vous rattrape. prendre le contrôle depuis votre WhatsApp et peut activer la vérification en deux étapes pour vous empêcher de le récupérer.
En outre, il existe des cas documentés où l'attaquant ajoute le compte à un deuxième appareil ; WhatsApp limite temporairement la demande de codes pendant 12 heures, une période pendant laquelle le criminel accède à vos conversations et groupes, collecte des contacts et lance de nouvelles fraudes se faire passer pour vous.
Pour vous protéger : ne partagez jamais de codes de vérification, activez la vérification en deux étapes de WhatsApp, utilisez des mots de passe forts et n'acceptez pas de demandes d'amis ou de messages suspects. Vérifiez régulièrement vos paramètres de confidentialité et de sécurité. limitez ce que vous publiez et conservez en toute sécurité les données sensibles telles que l'identité, l'adresse ou les informations bancaires.
L'échange de carte SIM constitue une autre menace sérieuse : grâce à des données personnelles obtenues par ingénierie sociale, les attaquants obtiennent un double de votre carte SIM auprès de l'opérateur. Vous perdez alors soudainement la couverture mobile et, lorsque vous vous connectez en Wi-Fi, vous recevez des notifications d'activité non autorisée. Si cela se produit, contactez immédiatement votre opérateur et mettez en œuvre des mesures telles que l'authentification multifacteur (MFA). tous vos comptes.
Que faire si votre compte est volé ou usurpé
Agissez méthodiquement. Documentez l'incident à l'aide de captures d'écran et de journaux. Informez vos contacts pour réduire l'effet domino. Récupérez l'accès en modifiant vos identifiants et en activant l'authentification multiple. Vérifiez et corrigez les numéros de téléphone et les adresses e-mail de récupération éventuellement modifiés par l'attaquant. Signalez chaque service concerné par ses canaux officiels et, le cas échéant, déposez plainte auprès de la Police nationale ou de la Garde civile. Depuis l'INCIBE, la hotline 017 offre de l'aide en cybersécurité pour les citoyens.
Faux CAPTCHA installant des logiciels malveillants : une autre façon de voler des données et des identifiants
Ces derniers mois, des campagnes abusant de fausses vérifications CAPTCHA ont été détectées. Via des publicités trompeuses ou des redirections invisibles, les utilisateurs atterrissent sur des pages frauduleuses simulant des erreurs de navigateur ou des contrôles de sécurité. Ils sont alors invités à copier une commande (par exemple, dans PowerShell) et à l'exécuter, ce qui déclenche le téléchargement d'un fichier. malware silencieux capable de voler des informations d'identification, des cookies et, surtout, des clés de cryptomonnaie.
Ces campagnes ont touché des dizaines de milliers d'utilisateurs, avec plus de 140 000 interactions en quelques mois seulement, et des victimes dans des pays comme l'Espagne, le Brésil, l'Italie et la Russie. Les criminels diffusent plusieurs familles de chevaux de Troie et étendent leur influence aux sites de jeux d'argent, aux communautés d'anime, aux sites de partage de fichiers et aux sites web pour adultes, profitant de l'apparence légitime de ces sites. CAPTCHA comme appât.
Pour minimiser les risques : si une publicité remplit votre écran ou vous redirige vers un site inconnu, fermez-la ; ne copiez ni n'exécutez jamais de commandes qui vous dirigent vers des pages auxquelles vous ne faites pas confiance ; utilisez un antivirus efficace ; et utilisez un gestionnaire de mots de passe. protégez vos informations d'identificationRester informé fait aussi partie de la défense.
Détournement DNS : lorsque l'adresse vous amène au site Web de l'attaquant
Le piratage DNS (serveur de noms de domaine) manipule la façon dont Internet résout les noms de sites web. Si un attaquant modifie l'enregistrement associant un domaine à son adresse IP, lorsque l'utilisateur saisit l'adresse de son site favori, il est redirigé vers un serveur contrôlé par l'attaquant. Le visiteur, sans méfiance, peut saisir ses identifiants ou télécharger. logiciel malveillant San se rendre compte.
Pour y parvenir, les attaquants peuvent infecter des ordinateurs, prendre le contrôle de routeurs ou intercepter des connexions DNS. L'objectif est généralement l'usurpation d'identité (pharming) pour voler des données, bien que certains gouvernements l'utilisent également pour rediriger vers des sites approuvés. Le résultat est le même : BusinessSite.com peut pointer vers une adresse IP erronée si le registre est compromis. les utilisateurs sont exposés.
Comment réduire le risque global de détournement de code, de session et de compte
hay modèles courants qui augmentent la sécurité contre le Pixnapping, le QRLJacking, le détournement de session ou la fraude par messagerie :
- Maintenez votre système et vos applications à jour et priorisez-les Correctifs de sécurité Android, en particulier ceux qui annoncent des mesures d'atténuation pour canaux latéraux et les fuites d'écran.
- Installez des applications uniquement à partir des magasins officiels et valorisez la réputation du développeur ; en particulier, vérifiez applications antivolSi quelque chose vous semble étrange, désinstallez-le sans hésiter et exécutez un scan de virus.
- Empêchez les codes ou données sensibles de rester visibles à l'écran ; avec des clés FIDO ou des approbations push au lieu de TOTP visibles. Masquer les notifications avec du contenu sensible sur l'écran de verrouillage.
- Méfiez-vous des codes QR affichés dans les lieux publics ou envoyés par courrier. Examinez leur apparence physique et vérifiez l'URL avant de saisir des données. Paramétrez votre lecteur de QR pour qu'il ne soit pas visible. ouvrir automatiquement les liens.
- Ne partagez pas les codes reçus par SMS ou via les applications, et activez la vérification en deux étapes sur tous vos services. Si vous perdez votre couverture sans raison, appelez votre opérateur au plus vite. Permutation de la carte SIM.
- Pour les sessions Web : évitez les réseaux publics, utilisez un VPN s'il n'y a pas d'alternative, vérifiez HTTPS, activez MFA et déconnectez-vous après des tâches sensibles ; surveillez les sessions actives et révoquer les appareils que tu ne reconnais pas.
- Si vous détectez des fraudes ou des sites malveillants, signalez-les à Inteco, à la Police nationale ou à la Garde civile. Plus les alertes sont nombreuses, plus vite elles pourront être supprimées. campagnes de blocage.
Questions fréquemment posées sur le pixnapping et les menaces associées
Quels téléphones sont concernés par Pixnapping ? Des chercheurs ont démontré ce phénomène sur des modèles Google récents (Pixel 6, 7, 8, 9) et un Samsung Galaxy S25, et ils constatent que le canal latéral impacte la plupart d'entre eux. Androïdes modernes. La surface potentielle est donc importante, dans l’attente de mesures d’atténuation plus profondes.
Les mises à jour actuelles sont-elles efficaces ? Google a publié la vulnérabilité CVE-2025-48561 pour atténuer le problème, mais des tests publics indiquent que l'attaque est toujours viable. Un correctif supplémentaire est attendu dans le bulletin de décembre. Maintenez votre appareil à jour. réduit le risque, bien qu'une défense complète puisse nécessiter des modifications système plus importantes.
Peut-il voler des secrets qui ne sont pas affichés ? Non. Si les informations ne sont pas affichées à l'écran, Pixnapping ne peut pas les capturer. C'est pourquoi il est important de minimiser l'affichage. Codes TOTP ou les montrer le moins longtemps possible.
Quelles applications sont sous le feu des projecteurs ? Toute application affichant des informations sensibles à l'écran est candidate. Les tests ont porté sur Gmail, les comptes Google, Signal, Google Authenticator, Venmo et Google Maps, démontrant que le problème est transversal et touche les deux. messagerie comme l’authentification et les cartes.
Quel est le lien entre le Pixnapping, le QRLjacking ou le détournement de session ? Ces deux types de menaces font partie du même écosystème visant à détourner les identités numériques. Le Pixnapping cible l'affichage à l'écran ; le QRLjacking exploite la confiance accordée aux codes QR ; le détournement de session exploite les failles de sécurité. faiblesses du Web; et WhatsApp/SMS recherchent vos codes. Ensemble, ils soulignent la nécessité d'une MFA robuste et d'une attitude prudente.
Le tableau dressé par toutes ces techniques est clair : les attaquants privilégient ce qui est visible, pratique et fiable. Réduire l'exposition, renforcer l'authentification et surveiller ce que nous scannons ou approuvons ont un impact réel sur les risques. En l'absence de mesures d'atténuation définitives pour les canaux auxiliaires comme Pixnapping, s'appuyer sur les bonnes pratiques et les correctifs dès leur publication est la meilleure solution. gagner du temps et éviter les dégâts. Partagez cette information afin que davantage de personnes connaissent ce terme.