Une faille critique dans le SDK EngageLab exposait les données sensibles de 50 millions d'utilisateurs Android, dont 30 millions de portefeuilles crypto.
Microsoft a révélé les détails d'une vulnérabilité critique dans le SDK EngageLab, un kit de développement tiers largement intégré dans les applications Android. Cette faille, identifiée dans la version 4.5.4 du SDK, est classée comme une redirection d'intent permettant à un attaquant de détourner le contexte de confiance d'une application vulnérable. Le problème est particulièrement préoccupant car plus de 50 millions d'installations Android sont concernées, dont 30 millions de portefeuilles de cryptomonnaies. La vulnérabilité permettait d'accéder aux répertoires internes des applications intégrant le SDK, exposant ainsi des données sensibles comme les clés privées et les identifiants de connexion des utilisateurs de wallets crypto. EngageLab a corrigé le problème dans la version 5.2.1, publiée en novembre 2025, mais de nombreuses applications n'ont pas encore déployé la mise à jour.
En bref
- Une faille dans le SDK EngageLab exposait les données sensibles de 50 millions d'utilisateurs Android, dont 30 millions de portefeuilles crypto
- La vulnérabilité de type « intent redirection » permettait à une application malveillante d'accéder aux répertoires internes des apps vulnérables
- Le correctif existe depuis novembre 2025 (version 5.2.1), mais toutes les applications concernées n'ont pas encore mis à jour le SDK
Ce qui s'est passé
Les chercheurs en sécurité de Microsoft ont identifié une vulnérabilité de type « intent redirection » dans le SDK EngageLab, un composant tiers utilisé par des centaines d'applications Android pour gérer les notifications push et l'engagement utilisateur. La faille, présente dans la version 4.5.4, exploite un mécanisme fondamental d'Android : les intents, ces messages inter-applications qui permettent de partager des données et de déclencher des actions.
Concrètement, un attaquant pouvait installer une application malveillante sur l'appareil de la victime et exploiter le contexte de confiance (les permissions) d'une application vulnérable intégrant le SDK. Cette technique permettait d'accéder aux répertoires internes de l'application ciblée, contournant ainsi les mécanismes de sandboxing d'Android. Pour les portefeuilles de cryptomonnaies, cela signifiait un accès potentiel aux clés privées, aux seed phrases et aux identifiants de connexion.
L'ampleur du problème est considérable : plus de 50 millions d'installations sont affectées, et les applications de wallets crypto représentent à elles seules 30 millions de ces installations. Selon Microsoft, aucune exploitation active n'a été détectée à ce jour, mais la fenêtre de vulnérabilité reste ouverte pour les applications n'ayant pas encore migré vers la version corrigée du SDK.
Pourquoi c'est important
Cette découverte illustre un risque structurel majeur de l'écosystème mobile : la dépendance aux SDK tiers. Lorsqu'un composant partagé par des centaines d'applications présente une faille, l'impact se démultiplie à l'échelle de millions d'utilisateurs. C'est le même mécanisme que l'on observe dans les attaques supply chain sur npm ou les compromissions de plugins WordPress.
Pour les détenteurs de cryptomonnaies, le risque est direct et financier : une exploitation réussie aurait pu permettre le vol de fonds sans aucune interaction de l'utilisateur au-delà de l'installation d'une application malveillante. La lenteur de propagation des correctifs dans l'écosystème Android, où chaque développeur doit individuellement mettre à jour ses dépendances, aggrave la situation.
Ce qu'il faut retenir
- Vérifiez que vos applications de wallet crypto sont à jour et surveillez les bulletins de sécurité de vos éditeurs
- Les développeurs Android doivent auditer leurs dépendances SDK et migrer vers EngageLab 5.2.1 ou supérieur
- Ce type de faille renforce l'importance des audits de sécurité de la supply chain logicielle, y compris pour les composants mobiles
Comment savoir si mon application Android est affectée par la faille EngageLab ?
Vérifiez si votre application utilise le SDK EngageLab en version inférieure à 5.2.1. Les développeurs peuvent contrôler leurs dépendances dans le fichier build.gradle. Pour les utilisateurs finaux, assurez-vous que vos applications de portefeuille crypto sont mises à jour vers leur dernière version disponible sur le Google Play Store.
Besoin d'un accompagnement expert ?
Ayi NEDJIMI vous accompagne sur vos projets cybersécurité et IA.
Prendre contactÀ propos de l'auteur
Ayi NEDJIMI
Expert Cybersécurité Offensive & Intelligence Artificielle
Ayi NEDJIMI est consultant senior en cybersécurité offensive et intelligence artificielle, avec plus de 20 ans d'expérience sur des missions à haute criticité. Il dirige Ayi NEDJIMI Consultants, cabinet spécialisé dans le pentest d'infrastructures complexes, l'audit de sécurité et le développement de solutions IA sur mesure.
Ses interventions couvrent l'audit Active Directory et la compromission de domaines, le pentest cloud (AWS, Azure, GCP), la rétro-ingénierie de malwares, le forensics numérique et l'intégration d'IA générative (RAG, agents LLM, fine-tuning). Il accompagne des organisations de toutes tailles — des PME aux grands groupes du CAC 40 — dans leur stratégie de sécurisation.
Contributeur actif à la communauté cybersécurité, il publie régulièrement des analyses techniques, des guides méthodologiques et des outils open source. Ses travaux font référence dans les domaines du pentest AD, de la conformité (NIS2, DORA, RGPD) et de la sécurité des systèmes industriels (OT/ICS).
Ressources & Outils de l'auteur
Articles connexes
Massachusetts : un hôpital paralysé par une cyberattaque
Signature Healthcare dans le Massachusetts a subi une cyberattaque forçant le détournement d'ambulances et l'annulation de chimiothérapies. Le secteur hospitalier reste une cible privilégiée.
Ransomware ChipSoft : chaos dans les hôpitaux néerlandais
ChipSoft, fournisseur de DME pour 70 % des hôpitaux néerlandais, a été frappé par un ransomware le 7 avril 2026. Plusieurs établissements signalent des perturbations logistiques.
CPUID piraté : CPU-Z et HWMonitor distribués avec un malware
Le site officiel de CPUID a distribué des versions piégées de CPU-Z et HWMonitor pendant 6 heures suite à la compromission d'une API. Les installeurs malveillants déployaient un RAT complet sur les postes des victimes.
Commentaires
Aucun commentaire pour le moment. Soyez le premier à commenter !
Laisser un commentaire