Une faille de sécurité découverte dans un SDK Android très répandu, EngageLab, a exposé les données de 50 millions d’utilisateurs — dont 30 millions de détenteurs de portefeuilles de cryptomonnaies. La vulnérabilité, identifiée et signalée par Microsoft, est depuis corrigée.
Un SDK, des millions d’applications concernées
Les kits de développement logiciel (SDK) sont des composants intégrés par les développeurs dans leurs applications mobiles pour ajouter rapidement des fonctionnalités — ici des notifications push. Le problème : quand un SDK contient une faille, c’est l’ensemble des applications qui l’utilisent qui devient vulnérable.
C’est exactement ce qui s’est passé avec EngageLab SDK, dont la version 4.5.4 comportait une vulnérabilité dite de « redirection d’intent ». Ce type de faille permet à une application malveillante installée sur le même appareil de détourner les intentions d’une autre application, en accédant à ses composants normalement protégés.
Portefeuilles crypto dans le viseur
L’ampleur du risque a particulièrement alerté les chercheurs en cybersécurité : parmi les 50 millions d’utilisateurs potentiellement exposés, 30 millions utilisaient des applications de portefeuilles de cryptomonnaies intégrant ce SDK. Des portefeuilles de cryptomonnaies auraient ainsi pu être compromis, avec un accès non autorisé aux données privées et aux clés de signature.
Microsoft, qui a découvert et signalé la vulnérabilité en avril 2025 selon un processus de divulgation coordonnée, précise qu’à ce jour aucune exploitation active de la faille n’a été détectée. La faille a été corrigée en novembre 2025 avec la version 5.2.1 d’EngageSDK.
Ce que ça change pour les utilisateurs
Si votre application a été mise à jour depuis fin 2025, vous n’êtes plus exposé. En revanche, les utilisateurs d’applications qui n’ont pas été mises à jour restent potentiellement vulnérables. Ce cas rappelle l’affaire ShinyHunters et Rockstar — la cybersécurité ne vise pas uniquement les grandes entreprises.
Cette découverte illustre un angle mort majeur de l’écosystème Android : la sécurité de la chaîne d’approvisionnement logicielle. Un SDK défaillant peut affecter des dizaines d’applications et des millions d’utilisateurs sans que ni les développeurs ni les utilisateurs finaux n’en soient conscients. De la même manière que Samsung et ses 800 millions d’appareils intègre nativement des couches d’IA, les fabricants devront à l’avenir intégrer des audits de sécurité des SDK dès la conception.
À retenir :
• 50 millions d’utilisateurs Android exposés via le SDK EngageLab (version 4.5.4)
• 30 millions de portefeuilles crypto particulièrement à risque
• Faille corrigée en novembre 2025 — mettre à jour ses applications reste indispensable
