Un grave problème de sécurité met actuellement en danger des millions d’utilisateurs de OnePlus. Une vulnérabilité découverte dans OxygenOS permet à des applications d’accéder aux SMS et MMS sans autorisation, compromettant la vie privée et les systèmes de double authentification. Plus inquiétant encore, la réaction de la marque fait polémique.
Une vulnérabilité confirmée par Rapid7
La société de cybersécurité Rapid7 a mis en lumière une faille répertoriée sous le code CVE-2025-10184. Cette vulnérabilité a été constatée sur plusieurs modèles, dont le OnePlus 8T et le OnePlus 10 Pro, équipés d’OxygenOS 12, 14 et 15. Les experts précisent que le problème touche probablement d’autres versions et appareils.
L’origine du bug se trouve dans la surcouche logicielle développée par OnePlus pour se différencier d’Android. En intégrant des fournisseurs de contenu comme PushMessageProvider ou ServiceNumberProvider sans définir correctement les permissions nécessaires, la marque a laissé la porte ouverte à l’accès aux SMS. Concrètement, toute application peut consulter ces messages sans disposer du droit READ_SMS.
Un risque majeur pour vos données sensibles
Le danger ne se limite pas à une atteinte à la vie privée. La faille permet également des attaques par injection SQL, capables de reconstruire le contenu des messages caractère par caractère. Cela ouvre la voie à l’interception des codes de vérification envoyés par SMS, utilisés pour sécuriser les comptes bancaires, les emails ou les réseaux sociaux.
Une simple application malveillante pourrait donc accéder à ces données et compromettre des comptes en quelques minutes seulement.
L’absence de réaction de OnePlus
Face à une telle découverte, une réponse rapide de la part du constructeur était attendue. Pourtant, entre mai et août, Rapid7 affirme avoir contacté OnePlus à sept reprises, via différentes adresses et canaux, sans obtenir le moindre retour.
Ce n’est qu’après la publication officielle du rapport, accompagné d’un exploit de démonstration, que OnePlus a reconnu la faille, annonçant « enquêter » sur la question. Une attitude jugée irresponsable par les experts, puisqu’aucun correctif n’est encore disponible et que les utilisateurs restent exposés.
Les précautions à adopter
Dans l’attente d’une mise à jour de sécurité, les chercheurs recommandent plusieurs mesures :
- N’installer que des applications issues de sources fiables.
- Limiter le nombre d’applications présentes sur le smartphone.
- Éviter les SMS comme méthode d’authentification et privilégier des solutions plus sécurisées (applications dédiées ou clés physiques).
La réputation de OnePlus sort fragilisée de cette affaire. En l’absence de correctif, la vigilance reste indispensable pour protéger ses données personnelles.
Je m’appelle Samuel Le Goff. À 38 ans, je suis l’actualité du numérique depuis plus de 14 ans. Aujourd’hui, je m’intéresse particulièrement aux smartphones et aux usages concrets de l’intelligence artificielle, que je traite à travers des contenus clairs et accessibles sur Menow.fr.
