Une importante faille de sécurité a été découverte sur de nombreux smartphones OnePlus, permettant à n’importe quelle application d’accéder à vos SMS et MMS sans votre autorisation. Un correctif est en route, mais les utilisateurs doivent prendre des mesures de protection immédiates en attendant son déploiement prévu pour la mi-octobre.
Un accès total à vos messages, en toute discrétion
Découverte par la firme de cybersécurité Rapid7, la vulnérabilité CVE-2025-10184 touche toutes les versions du système d’exploitation OxygenOS de OnePlus depuis la version 12. En raison d’une mauvaise configuration de l’application de téléphonie par OnePlus, n’importe quelle application installée sur un smartphone concerné, même la plus anodine, peut lire l’intégralité de vos SMS et MMS ainsi que leurs métadonnées.
Le plus inquiétant est que cette intrusion ne requiert aucune permission, aucune action de votre part et ne laisse aucune trace. Il est donc impossible de savoir si vos données ont déjà été consultées. La faille trouve son origine dans une modification apportée par OnePlus lors du passage à Android 12, où les autorisations d’accès aux messages n’ont pas été correctement sécurisées.
Rapid 7 a tenté de contacter OnePlus il y a plusieurs mois pour signaler le problème, sans recevoir de réponse. Ce n’est qu’après la publication des détails de la faille lundi que le fabricant a finalement réagi mercredi, confirmant être au courant.
Dans une déclaration à 9to5Google, un porte-parole de OnePlus a déclaré :
Nous avons pris connaissance de la récente divulgation de CVE-2025-10184 et avons mis en place un correctif. Celui-ci sera déployé à l’échelle mondiale via une mise à jour logicielle à partir de la mi-octobre. OnePlus reste déterminé à protéger les données de ses clients et continuera à donner la priorité aux améliorations en matière de sécurité.
Comment se protéger en attendant la mise à jour
D’ici le déploiement du correctif à la mi-octobre, la prudence est de mise. Il est fortement recommandé de suivre les conseils de sécurité suivants :
- Limitez vos applications : n’installez que des applications provenant de sources fiables et reconnues. Supprimez les applications non essentielles de votre téléphone.
- Abandonnez les codes 2FA par SMS : si vous utilisez la double authentification avec la réception de codes par SMS, basculez vers une application d’authentification dédiée.
- Changez de messagerie : pour vos conversations sensibles, privilégiez des applications de messagerie tierces chiffrées plutôt que l’application SMS par défaut.
