Ce qui devait être un téléphone verrouillé et sûr s’est transformé en coffre-fort grand ouvert : le Ledger Donjon vient de prouver que même éteint, votre mobile peut être hacké.
Ledger Donjon sonne l’alerte
L’équipe de cybersécurité de Ledger, connue sous le nom de Ledger Donjon, a mis au jour une vulnérabilité majeure touchant certains téléphones Android équipés de puces MediaTek. Cette faille, désormais référencée sous le code CVE‑2025‑20435, permettrait à un attaquant d’accéder à un appareil éteint et d’en extraire les données les plus sensibles en moins d’une minute.
Lors de leurs tests, les chercheurs français ont réussi à infiltrer un Nothing CMF Phone 1 en seulement 45 secondes, sans même démarrer Android. En connectant l’appareil via USB, ils ont accédé directement au cœur du chiffrement matériel : extraction des clés racines, contournement du code PIN et déchiffrement complet du stockage. Parmi les données récupérées figuraient des portefeuilles crypto populaires comme Trust Wallet, Base, Kraken Wallet ou encore Phantom.
Cette vulnérabilité provient d’une faiblesse dans la chaîne de démarrage sécurisé du processeur MediaTek, combinée à la gestion du TEE (Trusted Execution Environment) de Trustonic. Selon Ledger, jusqu’à 25 % des smartphones Android pourraient être concernés, notamment certains modèles utilisant les mêmes composants de sécurité, tels que le Solana Seeker Phone.
Prévenue selon un protocole de divulgation responsable de 90 jours, la société MediaTek a publié une mise à jour corrective le 5 janvier 2026. Ledger Donjon a rendu publique sa découverte le 2 mars 2026, exhortant tous les utilisateurs à appliquer sans délai les mises à jour de sécurité disponibles. L’équipe rappelle au passage qu’un smartphone, même moderne, ne constitue jamais un environnement parfaitement sûr pour stocker des actifs numériques, une seule faille matérielle pouvant suffire à compromettre un portefeuille entier.
Une véritable piqûre de rappel
Cette vulnérabilité a de quoi surprendre car elle survient dans un contexte où les attaques contre l’écosystème crypto connaissent une accalmie notable. En février 2026, les vols recensés ont chuté de plus de 90 %, totalisant 35,7 millions de dollars, soit le niveau le plus bas depuis mars 2025. Une nette amélioration par rapport à février 2025, marqué par le piratage record de 1,5 milliard de dollars de Bybit.
Cette tendance n’exclut toutefois pas plusieurs incidents notables : un hack de 10 millions sur le réseau Stellar via YieldBlox, la compromission d’une clé privée sur IoTeX entraînant la perte de 2 à 9 millions, et la faille cryptographique exploitée contre Foom.Cash pour un préjudice estimé à 2,2 millions.
En parallèle, le phishing reste omniprésent, générant 8,5 millions de dollars de pertes, porté par des services de type drainer‑as‑a‑service comme Angel Drainer et Inferno Drainer, qui industrialisent le vol de crypto-actifs.
La morale de l’histoire : quand la porte est numérique, le diable se cache dans le microprocesseur.
