La société spécialisée en sécurité Rapid7 explique avoir identifié ce problème en testant deux modèles récents, les OnePlus 8T et OnePlus 10 Pro 5G, tous deux sous OxygenOS 12, 14 et 15. Selon les chercheurs, la vulnérabilité ne dépend pas du matériel mais d’un composant central d’Android modifié par OnePlus. En clair, une large partie du catalogue de la marque serait exposée, à l’exception des modèles restés sous OxygenOS 11, basé sur Android 11, qui ne présentent pas ce défaut.
OnePlus attend la médiatisation de la faille pour promettre un correctif
Prévenue en amont, OnePlus n’a pas répondu aux sollicitations de Rapid7. Ce n’est qu’après la publication du rapport de la société de sécurité, et face à l’écho grandissant sur internet, que le constructeur a réagi. Dans un communiqué, un porte-parole reconnaît l’existence de la faille, référencée CVE-2025-10184, et annonce l’arrivée d’un correctif logiciel à partir de la mi-octobre. Celui-ci sera déployé mondialement via une mise à jour OTA.
« Nous avons mis en place une solution qui sera proposée à compter de la mi-octobre. OnePlus reste déterminé à protéger les données de ses clients et à renforcer en permanence ses mesures de sécurité », assure le constructeur. La réaction tardive de l’entreprise n’est pas passée inaperçue. Rapid7 précise avoir renoncé au programme de bug bounty de OnePlus en raison d’un accord de confidentialité jugé trop restrictif, et a donc préféré divulguer publiquement la faille pour alerter les utilisateurs.
En attendant le correctif, il est recommandé aux utilisateurs de faire preuve de prudence. Rapid7 conseille de n’installer que des applications issues de sources fiables, de supprimer les apps non essentielles, de privilégier les messageries chiffrées plutôt que les SMS classiques, et d’opter pour des applications d’authentification dédiées à la place de la validation par SMS.
La situation reste préoccupante : on ignore encore combien de modèles sont touchés, et l’ampleur réelle de l’exposition n’est pas claire. Mais pour OnePlus, l’enjeu est double : corriger la faille et restaurer la confiance de ses clients, qui peuvent reprocher à la marque une communication trop lente face à un problème aussi sensible.
🟣 Pour ne manquer aucune news sur le Journal du Geek, suivez-nous sur Google et sur notre canal WhatsApp. Et si vous nous adorez, on a une newsletter tous les matins.
