Attention si vous avez un smartphone OnePlus, cette faille de sécurité critique met vos données en danger

Des chercheurs en cybersécurité dévoilent une vulnérabilité majeure d'OxygenOS, le système d'exploitation des smartphones OnePlus. Elle est particulièrement dangereuse vu ce qu'elle engendre.

Il fut une époque où OnePlus débarquait en force sur le marché des smartphones, proposant des modèles très performants à des prix défiant toute concurrence. Ce temps est révolu, mais cela n'empêche pas le constructeur de continuer à faire parler de lui. La plupart du temps, c'est en bien, par exemple quand on apprend que le futur OnePlus 15 devrait proposer le meilleur écran mobile du moment.

Et parfois les nouvelles sont beaucoup moins réjouissantes. La dernière en date concerne une faille de sécurité critique repérée dans OxygenOS. Pour rappel, c'est le système d'exploitation maison de OnePlus, basé sur Android. La vulnérabilité en question existe dans plusieurs versions d'OxygenOS, ce qui veut dire que de nombreux smartphones de la marque sont concernés. Ses effets sont potentiellement très inquiétants.

Une faille d'OxygenOS met les utilisateurs de smartphones OnePlus en danger

“Cette vulnérabilité permet à toute application installée sur l'appareil de lire les données et métadonnées SMS/MMS de l'opérateur téléphonique fourni par le système […] sans autorisation, interaction ou consentement de l'utilisateur. L'utilisateur n'est pas non plus averti de l'accès aux données SMS“, explique Rapid7, qui a découvert le souci.

Un exemple concret des risques que cela engendre ? L'interception d'un SMS contenant le code nécessaire à l'authentification à deux facteurs. Celui pour accéder à votre compte bancaire notamment.

Lire aussi – Les smartphones OnePlus sont plus simples à utiliser grâce à cette nouveauté d’OxygenOS 15

Les experts à l'origine de la découverte indiquent avoir contacté OnePlus au sujet de la faille le 1er mai 2025, sans réponse. Après plusieurs relances, la firme répond début juillet en disant qu'elle transmet l'information aux équipes concernées. Malgré des demandes sur l'avancée du problème, OnePlus ne répond pas, ce qui force Rapid7 a publier l'article de blog détaillant la faille. Dès le lendemain, 24 septembre 2025, OnePlus répond qu'ils enquêtent, mais pas plus.

À ce stade, il n'y a rien que vous puissiez faire à votre niveau à part attendre une mise à jour logicielle. Si possible, changez également de méthode pour la double authentification de manière à ce qu'elle n'utilise pas les SMS.