Qu'est-ce que Pixnapping qui peut voler des codes de vérification ?

Guides Android » Généralités » Qu'est-ce que Pixnapping qui peut voler des codes de vérification ?

La communauté de la cybersécurité est en émoi face à un nouveau concept qui met la pression sur les utilisateurs d'Android : le Pixnapping. Cette attaque, nommée d'après un jeu de mots entre « pixel » et « hijacking », s'est avérée capable de « voir » ce qui est affiché sur votre écran et, à partir de là, voler des codes de vérification 2FA et d'autres données sensibles sans éveiller les soupçons ni demander la permission extérieure.

Ce qui est le plus frappant, c'est sa discrétion : une application apparemment innocente, installée par l'utilisateur, peut exploiter des API Android légitimes et un canal auxiliaire matériel pour reconstituer ce qui apparaît à l'écran d'autres applications. Lors de tests publics, des chercheurs ont démontré que c'était possible. Extraire des codes temporaires comme Google Authenticator en moins de 30 secondes, et faites-le de manière à ce que l'utilisateur ne remarque rien d'étrange.

Qu'est-ce que Pixnapping et pourquoi a-t-il déclenché toutes les sonnettes d'alarme ?

Pixnapping Il s'agit d'une technique d'espionnage d'écran qui combine les appels API système avec les signaux physiques de l'appareil (un canal côté matériel) pour déduire ce qui est affiché en temps réel. D'un point de vue pratique, il suffit que l'information soit visible à l'écran pour que reconstruisez-le et filtrez-le silencieusement.

La principale différence avec les autres arnaques mobiles réside dans le fait que l'application malveillante ne nécessite aucune autorisation spéciale. Elle ne demande pas d'accès, ne lit pas les notifications et ne requiert pas de captures d'écran. Pourtant, elle parvient à observer les schémas de rendu et à « assembler » les informations qu'elle voit. En clair : si vous la voyez, l'attaquant peut… faire une copie sans que vous le sachiez.

Les chercheurs ont validé l'attaque sur des modèles récents : Google Pixel 6, Pixel 7, Pixel 8 et Pixel 9, ainsi que sur un Samsung Galaxy S25. Et ils ne se sont pas contentés de la théorie : ils ont démontré la récupération de données depuis Gmail, comptes Google, Signal, Google Authenticator, Venmo et Google Maps, précisant que le problème est transversal à de multiples applications et services.

Il existe une mise en garde importante : si un secret n'est jamais affiché à l'écran (par exemple, une clé stockée mais invisible), Pixnapping ne peut pas le capturer. Le risque se concentre sur ce qui est affiché et visible à l'œil nu, comme les chiffres d'un TOTP, un SMS avec un OTP, ou données sensibles qui apparaissent dans les notifications ou les fenêtres.

Comment ils volent les codes 2FA et autres données visibles

Lorsque vous ouvrez votre application d'authentification ou recevez un code à usage unique, ce contenu est affiché à l'écran. C'est là qu'intervient Pixnapping : en observant les modèles de rendu et les signaux associés au processus de dessin, il peut reconstituer ce qui apparaît et l'extraire avec suffisamment de fidélité pour… Capturer un code ou une clé TOTP envoyé par SMS.

Ceci explique pourquoi il fonctionne avec les codes générés localement (TOTP dans des applications comme Google Authenticator) et aussi avec les mots de passe à usage unique qui apparaissent dans les messages, les notifications ou les fenêtres contextuelles. S'il est visible, il existe une surface d'attaque. La rapidité est ici primordiale : les chercheurs ont montré qu'en moins d'une demi-minute, un lire et exfiltrer le code sans interaction supplémentaire de l'utilisateur.

Cependant, cette portée a des limites naturelles. Si une application masque des ressources critiques et ne les affiche pas (par exemple, des secrets TOTP stockés en interne sans les afficher), il n'y a rien à « espionner » sur le canevas. D'où la recommandation de minimiser l'exposition visuelle des clés et d'éviter les notifications au contenu sensible. être vu sur l'écran de verrouillage.

D'un point de vue technique, l'utilisation d'API légitimes rend la détection plus difficile pour le système, car les autorisations à haut risque ne sont pas utilisées abusivement. De plus, l'utilisation d'un canal auxiliaire matériel lui confère un avantage discret : vous ne verrez pas de fenêtres contextuelles d'autorisation ni d'alertes spéciales, ce qui facilite l'attaque. passer inaperçu auprès de la victime.

Modèles concernés, applications impactées et état des correctifs

Lors des tests publiés, l'équipe de recherche a réalisé des attaques fonctionnelles sur plusieurs téléphones Google (Pixel 6, 7, 8 et 9) et un Samsung Galaxy S25. Bien que les validations se soient limitées à ces appareils, le canal auxiliaire décrit suggère que les androïdes les plus modernes pourraient être affectés jusqu’à ce que des mesures d’atténuation plus importantes soient mises en œuvre.

Pour tenter de stopper le vecteur, Google a distribué un correctif identifié comme CVE-2025-48561. Cependant, les auteurs de l'étude ont constaté que, même avec cette mise à jour installée, Pixnapping a continué à fonctionner lors des tests.Autrement dit, la première mesure d’atténuation réduit une partie du risque, mais elle ne ferme pas complètement la porte.

L'entreprise a indiqué qu'elle publierait un renforcement supplémentaire dans le bulletin de sécurité Android de décembre. En attendant la publication de ce second correctif et sa diffusion auprès des fabricants, la meilleure défense reste la prudence : soyez à jour avec les mises à jour, activez Play Protect et évitez applications en dehors des magasins officiels et méfiez-vous des développeurs inconnus.

En matière d'applications, la gamme est vaste : de la messagerie sécurisée comme Signal aux gestionnaires d'authentification comme Google Authenticator, en passant par Gmail, Venmo et Google Maps. Leur point commun est qu'elles affichent des informations conçues pour être visibles. C'est pourquoi il est important de se concentrer sur… réduire le contenu sensible visible chaque fois que possible.

Mesures d'atténuation pratiques : ce que vous pouvez faire aujourd'hui pour réduire vos risques

Bien que des solutions de bas niveau pour bloquer les canaux auxiliaires soient en cours d'élaboration, certaines habitudes peuvent aider. Premièrement, si le service le permet, passez des codes visibles aux méthodes résistantes au phishing: Clés de sécurité FIDO ou approbations push, au lieu de TOTP qui apparaît à l'écran pendant plusieurs secondes.

Masquez les notifications sensibles sur l'écran de verrouillage et désactivez les aperçus affichant des codes ou des fragments de messages. Réduisez la durée d'affichage d'un TOTP. Parallèlement, maintenez Android à jour, appliquez les correctifs de sécurité en priorité et laissez Play Protect activé. Au moindre doute sur une application, désinstaller et analyser avec votre antivirus.

Autres mesures utiles : installez-la depuis les boutiques officielles, vérifiez la réputation du développeur et lisez les avis récents. Si une application demande des autorisations qui ne correspondent pas à son objectif, c'est mauvais signe. Et bien sûr, ne partagez pas les codes reçus par SMS ou messagerie instantanée, même si un prétendu technicien ou un contact connu vous le demande : Personne de légitime ne vous demandera ce code..

Pour les sessions web, évitez les réseaux Wi-Fi publics pour vos opérations bancaires, vos e-mails ou vos achats ; à défaut, utilisez un VPN de confiance. Vérifiez le verrouillage HTTPS, déconnectez-vous après avoir effectué des tâches sensibles et vérifiez les appareils connectés dans vos comptes. Si quelque chose ne vous dit rien, révoquer l'accès immédiatement.

QRLjacking et autres arnaques aux codes QR : pourquoi ils fonctionnent et comment les éviter

L'essor des codes QR a apporté commodité… et nouveaux pièges. Des exploits de piratage de codes QR permettent d'introduire un code QR apparemment légitime qui redirige vers un site contrôlé par l'attaquant. Sur certains services, ce code QR est utilisé pour se connecter ou lier une session, ce qui permet, à son insu, vous remettez votre session au criminel.

Une variante répandue est le QR Code Jacking : le pirate imprime un faux code et le colle sur le vrai sur les parcmètres, les bornes de recharge ou les panneaux. Le site web sur lequel vous atterrissez est un faux, vous demandant vos informations de carte, et hop ! vous vous retrouvez sur un podium frauduleuxDes incidents réels de ce type ont déjà été documentés dans des parkings publics.

Il existe aussi des quishings, des e-mails contenant des codes QR qui se font passer pour votre banque ou le gouvernement. Ils vous invitent à vérifier vos informations ou à profiter d'une offre. Vous scannez, vous arrivez sur un site cloné, et on vous demande vos identifiants ou d'autres informations sensibles. Il existe même des applications de scan « innocentes » sur les boutiques officielles qui se sont révélées contenir des codes QR. comportements malveillants.

Comment vous défendre : vérifiez la source avant de scanner, utilisez un lecteur qui n'ouvre pas automatiquement les liens et examinez le code QR physique pour voir s'il apparaît superposé ou imprimé différemment. En cas de doute, saisissez l'adresse dans votre navigateur au lieu de suivre le code QR. Dans les entreprises et les événements, c'est une bonne idée. auditer les codes visibles périodiquement.

Détournement de session Web : même cible, itinéraire différent

Lorsque vous vous connectez à un site web, le serveur émet un identifiant de session (généralement dans un cookie) qui vous authentifie. Si un attaquant obtient cet identifiant, il peut usurper votre identité. Plusieurs méthodes existent : le XSS pour voler des cookies, l'analyse de réseaux non chiffrés, la fixation de session ou les chevaux de Troie de type « man-in-the-browser » (trojans de type « man-in-the-browser »). intercepter et modifier les transactions.

Bien que parfois confondus, le détournement de session diffère de l'usurpation de session. Dans le premier cas, l'attaquant prend le contrôle d'une session utilisateur déjà active. Dans le second, il crée une nouvelle session en usurpant l'identité de l'utilisateur de toutes pièces. Dans les deux cas, les conséquences peuvent inclure : Vol d'identité, fraude et accès en chaîne quand il y a SSO.

Des cas réels ont tout démontré, des intrusions lors d'appels vidéo aux vulnérabilités de grandes plateformes exposant des cookies ou des jetons dans les URL. La recette de défense : méfiez-vous des liens non sollicités, évitez les réseaux publics, utilisez des VPN fiables en cas d'impossibilité, activez l'authentification multifacteur (MFA) sur tous vos services, et configurez politiques d'expiration et de révision des sessions et maintenez votre antivirus à jour.

Détournement de WhatsApp et vol d'identité : l'arnaque au code à 6 chiffres

Un schéma dommageable se répète sur WhatsApp : l'attaquant commence à enregistrer votre numéro sur un autre appareil, l'application envoie le code de vérification par SMS au téléphone légitime, puis il vous contacte en se faisant passer pour un membre de la famille, un ami ou même un prétendu attaquant. support technique de la plateformeIls vous demandent le code « par erreur » ou pour « vérification », et si vous le donnez, vous perdez le contrôle du compte.

Une fois à l'intérieur, ils peuvent activer la vérification en deux étapes pour vous compliquer la tâche, écrire à vos contacts pour demander de l'argent via Bizum ou diffuser des liens malveillants. Des appels avec des préfixes étrangers se faisant passer pour des membres du service client ayant « détecté une connexion non autorisée », un alibi qui semble plausible, mais qui est destiné à arracher ce code critique.

Pour vous protéger : ne partagez jamais votre code à six chiffres, activez la vérification en deux étapes dans WhatsApp (Paramètres > Compte > Vérification en deux étapes) et méfiez-vous des messages urgents vous demandant d'agir immédiatement. Si votre compte a été volé, essayez de le récupérer en demandant un nouveau code. activer instantanément la vérification en deux étapes.

Prévenez également vos contacts dès que possible afin de briser la chaîne de la fraude. Enregistrez des captures d'écran et des messages comme preuves en cas de plainte. En Espagne, la hotline 017 de l'INCIBE peut vous aider en cas de fraude. usurpation d'identité et vol de compte avec des conseils gratuits.

Échange de carte SIM : lorsque votre numéro est transféré à quelqu'un d'autre

L'échange de carte SIM est un classique intemporel. À l'aide de données personnelles obtenues par ingénierie sociale (ou fuites), les criminels demandent à votre opérateur un duplicata de carte SIM. Soudain, vous perdez la couverture et, dès que vous vous connectez au Wi-Fi, vous recevez des alertes signalant des activités suspectes. L'objectif est d'intercepter les données. SMS de vérification et récupération d'accès.

Mesures préventives : Configurez correctement la sécurité auprès de votre opérateur, utilisez une MFA sans SMS (clés FIDO ou applications avec protection renforcée), surveillez les notifications de modification de votre compte et, en cas de perte de couverture inattendue, appelez immédiatement votre opérateur. Dans vos services en ligne, vérifiez les numéros et adresses e-mail de récupération pour détecter les problèmes. modifications non autorisées.

Faux CAPTCHA installant des logiciels malveillants : l'arnaque du « copier-coller »

Une autre tactique en plein essor consiste à exploiter les fausses vérifications CAPTCHA. Via des publicités ou des redirections, vous accédez à une page simulant un test de sécurité ou une erreur de navigateur. On vous demande de copier une commande (par exemple, depuis PowerShell) et de l'exécuter. En cliquant, vous téléchargez un fichier. Logiciel malveillant silencieux qui vole les informations d'identification, les cookies et les cryptomonnaies.

Ces campagnes ont fait des dizaines de milliers de victimes dans différents pays. Les mesures de prévention sont claires : si un site vous demande d'exécuter des commandes, fermez l'onglet ; ne téléchargez rien d'autre que des sources entièrement fiables ; utilisez un antivirus fiable et un gestionnaire de mots de passe pour minimiser les dommages en cas de compromission d'un compte. Informations et précautions réduire l'impact de ces campagnes.

Détournement DNS : lorsque vous tapez correctement mais que vous vous retrouvez sur le site Web de l'attaquant

Le piratage DNS manipule la résolution du nom de domaine pour vous rediriger vers un serveur contrôlé par l'attaquant. Vous saisissez la bonne adresse, mais la réponse DNS est corrompue et vous obtenez un clone qui vous demande des informations d'identification ou vous incite à télécharger. logiciels malveillants sans que vous vous en rendiez compte.

Les criminels peuvent compromettre les routeurs, intercepter les requêtes DNS ou modifier les enregistrements de fournisseurs non sécurisés. Bien que parfois utilisé à des fins de censure, le résultat pour l'utilisateur est le même : si l'enregistrement pointe vers une mauvaise adresse IP, vos données sont exposées. Utilisez un DNS chiffré autant que possible et ne l'ignorez pas. alertes de certificat non valide.

Guide rapide des bonnes pratiques contre le pixnapping et les menaces associées

Il existe des directives courantes pour renforcer votre sécurité contre le pixnapping, les codes QR malveillants, le détournement de session et la fraude par messagerie. Appliquez-les comme une ceinture et des bretelles pour réduire votre surface d'attaque et gagner du temps face aux nouvelles variantes. La clé est de : mettre à jour, se méfier et minimiser l'exposition.

• Maintenez Android et les applications à jour; donnez la priorité aux correctifs qui atténuent les canaux secondaires et les fuites d'écran, et laissez Play Protect actif.
• Installer uniquement à partir des magasins officiels et évaluez la réputation du développeur ; si quelque chose sent mauvais, désinstallez-le et exécutez une analyse antivirus.
• Évitez de montrer des codes ou des données sensibles; utilisez les clés FIDO ou les approbations push au lieu du TOTP visible et masquez les notifications sensibles sur l'écran de verrouillage.
• Avec le QR, la méfiance par défaut:Vérifiez le code physique, n'ouvrez pas les liens automatiques et saisissez le site Web si vous avez des doutes.
• Ne partagez pas de codes via SMS ou applications; activez la 2FA sur tout et appelez votre opérateur si vous perdez la couverture sans raison (échange de carte SIM possible).
• Pour les sessions Web:Évitez les réseaux publics, utilisez un VPN si nécessaire, vérifiez HTTPS, déconnectez-vous après des tâches sensibles et révoquez les appareils suspects.
• Signaler les fraudes et les sites malveillants vers les canaux officiels (par exemple INCIBE/OSI, Police nationale ou Garde civile) pour accélérer les blocages.

Que faire si votre compte est volé ou usurpé

Respirez profondément et agissez méthodiquement. Commencez par documenter tout ce qui s'est passé avec des captures d'écran et des journaux. Plus vous aurez de preuves, mieux ce sera. Ensuite, essayez de récupérer l'accès : modifiez les mots de passe, activez l'authentification multifacteur (MFA) et vérifiez vos e-mails et numéros de récupération au cas où l'attaquant les aurait modifiés. Pour les services avec gestion de session, fermer toutes les sessions actives sauf celui que vous utilisez.

Informez vos contacts de l'incident afin d'éviter toute tentative d'escroquerie en votre nom. Signalez-le via les canaux prévus par chaque service (réseaux sociaux, e-mail, messagerie) et, en cas de dommage ou de risque pour vos finances ou votre identité, envisagez de déposer une plainte auprès de la Police nationale ou de la Garde civile. En Espagne, la ligne d'assistance téléphonique 017 de l'INCIBE vous permet d'appeler. aide spécialisée et gratuite.

Questions fréquemment posées sur Pixnapping

Quels téléphones portables sont concernés ? Bien que les tests aient été effectués sur plusieurs Pixels (6, 7, 8, 9) et un Galaxy S25, le canal secondaire décrit suggère que la plupart des androïdes modernes pourraient être impactés jusqu'à ce que des atténuations plus profondes soient disponibles au niveau du système et du matériel.

Le patch actuel fonctionne-t-il ? Google a publié la vulnérabilité CVE-2025-48561 pour atténuer le vecteur, mais des tests publics indiquent que l'attaque reste viable. Une contre-mesure supplémentaire a été annoncée dans le bulletin Android de décembre : maintenez votre appareil à jour. réduit le risque, sans l'éliminer complètement en ce moment.

Pouvez-vous voler des secrets cachés ? Non. Si l'information n'est jamais affichée à l'écran, Pixnapping ne peut pas la capturer. Réduire l'exposition aux TOTP et le temps d'écran est un atout. réduire la probabilité de vol.

Quelles applications sont à l’honneur ? Toute application affichant des informations sensibles. En test : Gmail, comptes Google, Signal, Google Authenticator, Venmo et Google Maps. Le vecteur est transversal et affecte différents types d'applications.

Le tableau général est clair : les attaquants ciblent ce que nous voyons et ce que nous approuvons sans réfléchir. Renforcer l'authentification avec FIDO ou des clés, limiter la visibilité des données sensibles et faire attention à ce que nous scannons ou installons peut faire la différence. En attendant que les correctifs de bas niveau soient matures et intégrés à tous les fabricants, combiner des mises à jour rapides avec bonnes habitudes d'hygiène numérique C'est le moyen le plus efficace de tenir à distance les risques tels que le Pixnapping et autres.