Google Cloud a annoncé aujourd’hui une nouvelle génération de technologies de calcul destinées à soutenir la montée en puissance de l’intelligence artificielle, avec notamment le TPU de 7ᵉ génération « Ironwood », de nouvelles machines virtuelles Axion basées sur Arm, et des améliorations logicielles dans son écosystème cloud. L’objectif : fournir une infrastructure complète pour une nouvelle phase de […]
Join Mark Lohmeyer, VP/GM of AI and Computing Infrastructure at Google Cloud, as he introduces the next generation of AI infrastructure, co-designed to meet ...
La collaboration entre The Simpsons et Fortnite suscite une polémique inattendue suite à une maladresse visuelle qui n’est pas passée inaperçue. Dans le cadre de la nouvelle saison du jeu de bataille royale, Springfield a littéralement envahi la carte avec ses lieux emblématiques et ses multiples clins d’œil disséminés aux quatre coins de l’environnement. Toutefois, certains de ces Easter ... Lire plus
Samsung a annoncé l’acquisition d’un parc de 50 000 cartes graphiques (GPU) de Nvidia, une initiative qui illustre une offensive commerciale et stratégique d’envergure menée par le géant des semi-conducteurs en Corée du Sud. Cette vague d’investissements, qui touche les plus grands conglomérats et jusqu’au gouvernement, vise à …
Face aux critiques concernant les problèmes graphiques et les ralentissements sur ses smartphones Pixel 10, notamment dans les jeux, Google a reconnu le problème. La société s’engage à déployer des mises à jour des pilotes GPU pour améliorer les performances, actuellement bridé par un problème logiciel. Le Pixel …
NVIDIA franchit une étape historique dans sa stratégie de relocalisation technologique en dévoilant son premier wafer « Blackwell » fabriqué sur le sol américain. Conçu au sein de l’usine ultra-moderne de TSMC à Phoenix, en Arizona, ce composant constitue la base matérielle des futurs processeurs d’intelligence artificielle de la marque. …
Il y a des bugs qu’on corrige en urgence. Et puis il y a GPU.zip, cette faille que TOUS les fabricants de GPU connaissent depuis mars 2023 et que personne n’a jamais voulu fixer.
Et 2 ans et demi plus tard, des chercheurs viennent de prouver qu’elle permettait de voler nos codes 2FA sous Android en moins de 30 secondes !!
Et devinez quoi ?
Y’a toujours pas de patch !
L’histoire commence donc en septembre 2023.
Des chercheurs de l’Université du Texas, Carnegie Mellon, et l’Université de Washington publient GPU.zip
, une attaque par canal auxiliaire qui exploite la compression graphique hardware des GPU. Le principe c’est qu’en mesurant le temps de rendu de certaines opérations graphiques, on peut déduire la couleur des pixels affichés à l’écran. Pixel par pixel. Un peu comme prendre une capture d’écran, mais sans permission, bien sûr !
Tous les fabricants de GPU sont donc prévenu dès mars 2023. AMD, Apple, Arm, Intel, Nvidia, Qualcomm. Mais aucun patch n’a pointé le bout de son nez. La position officielle des fabricants de GPU étant que “C’est au software de gérer ça”.
Les navigateurs web colmatent alors la brèche en limitant les iframes cross-origin, mais la faille hardware elle-même n’est jamais corrigée. Trop coûteux. Trop compliqué. Pas leur problème…
Maintenant on fait avance rapide en octobre 2025.
Une équipe de 7 chercheurs (UC Berkeley, Carnegie Mellon, Université de Washington) sort Pixnapping
, une attaque qui ressuscite GPU.zip sur Android. Le papier sera d’ailleurs présenté à la 32nd ACM Conference on Computer and Communications Security qui a lieue cette semaine à Taipei. Alan Linghao Wang, Ricardo Paccagnella et leurs collègues on réalisé une démo où on voit une application Android malveillante voler des codes 2FA, des messages privés, ou n’importe quelle donnée affichée à l’écran, sans demander la moindre permission système.
L’attaque fonctionne en trois étapes. D’abord, l’app malveillante invoque des APIs Android publiques (activities, intents, tasks) pour déclencher l’affichage de données sensibles dans l’app cible. Par exemple, forcer Google Authenticator à afficher un code 2FA. Ensuite, elle dessine des fenêtres transparentes par-dessus ces données et effectue des opérations graphiques sur des pixels individuels. Enfin, elle mesure le temps de rendu de chaque frame pour reconstruire les pixels un par un via le canal auxiliaire GPU.zip. C’est lent (entre 0,6 et 2,1 pixels par seconde) mais c’est suffisant.
Les chercheurs ont testé l’attaque sur plusieurs modèles Google Pixel et Samsung Galaxy S25
et sur 100 tentatives de vol de codes 2FA depuis Google Authenticator, le Pixel 6 se montre particulièrement vulnérable avec un taux de réussite des attaques de 73% en seulement 14,3 secondes en moyenne. Le Pixel 7 offre une meilleure résistance avec 53% de réussite en 25,8 secondes, tandis que le Pixel 8 fait encore mieux en limitant les attaques réussies à 29% en 24,9 secondes. Curieusement, le Pixel 9 régresse et remonte à 53% de vulnérabilité en 25,3 secondes. Par contre, le Galaxy S25 se distingue complètement en bloquant systématiquement toutes les tentatives d’attaque grâce au bruit présent dans les mesures qui empêche toute exploitation.
Les vieux appareils sont donc plus vulnérables que les nouveaux, ce qui est probablement lié aux premières générations de GPU Tensor de Google, moins optimisées, plus prévisibles.
Google attribue une CVE à cette attaque (CVE-2025-48561), classée “High Severity” et un patch partiel est publié dans le bulletin de sécurité Android de septembre. Mais les chercheurs ont rapidement trouvé un contournement, qui est actuellement sous embargo. Un second patch est donc prévu pour décembre. Entre-temps,
Google affirme qu’aucune exploitation “in-the-wild” n’a été détectée
pour l’instant.
Le modèle de sécurité Android repose sur l’idée qu’une app sans permissions ne peut rien faire de dangereux. Pixnapping utilise uniquement des APIs publiques légitimes donc y’a rien de suspect dans le manifest, qui déclencherait une alerte Play Protect… Et pourtant, elle peut voler des codes 2FA.
Les recommandations de sécurité sont donc les mêmes depuis 2023 à savoir scruter attentivement les apps installées, privilégier les clés de sécurité hardware pour la 2FA (YubiKey, Titan), surveiller les comportements anormaux.
Après, je pense pas que beaucoup d’utilisateurs d’Android vont investir dans une clé hardware à 50 balles parce que Nvidia a la flemme de patcher son GPU.
Bienvenue dans la réalité de la sécurité mobile les amis.
CPUID, non pas le développeur de CPU-Z, mais l'instruction permettant de récupérer le nom du CPU. Il ne faut pas s'y fier aveuglément, car les informations retournées peuvent être modifiées à la volée.
Connexion
