Une faille critique découverte dans le moteur Unity expose les portefeuilles crypto mobiles à des risques accrus, en particulier sur Android. Cette vulnérabilité permettrait à des attaquants d’injecter du code dans certains jeux pour capter des données sensibles comme les seed phrases. Unity affirme avoir déjà diffusé des correctifs privés, tandis que Google confirme travailler avec les développeurs pour sécuriser rapidement les applications concernées.
Un problème ancien, mais découvert récemment
Une nouvelle vulnérabilité récemment trouvée dans le moteur de jeu Unity menace la sécurité des portefeuilles crypto sous Android.
Selon les premières indications du début d’enquête, cette faille technique permet à des attaquants, injectant un code dans certains jeux Android, de lancer des actions malveillantes, à l’instar de la capture d’écran ou de l’enregistrement des frappes claviers.
NEW: UNITY GAMING PLATFORM IS QUIETLY ROLLING OUT A FIX FOR A VULNERABILITY THAT ALLOWS THIRD-PARTY CODE TO RUN IN ANDROID-BASED MOBILE GAMES, WHICH CAN POTENTIALLY TARGET MOBILE CRYPTO WALLETS – PER COINTELEGRAPH SOURCES pic.twitter.com/FpYP117VRd
— DEGEN NEWS (@DegenerateNews) October 3, 2025
La faille rapportée ne se limite pas aux plus récents projets Unity. Elle touche aussi des versions publiées depuis 2017, ce qui pourrait rendre vulnérables des milliers de jeux disponibles depuis plusieurs années.
Bien que la menace soit principalement dirigée contre Android, Unity a bien reconnu que Windows, macOS et Linux peuvent aussi être touchés, même si le risque y demeure largement plus limité.
Les auteurs de l’analyse mettent en avant que cette vulnérabilité permette de faire une « in-process code injection ». Une injection de code dans le processus même du jeu permettant alors le siphonnage au besoin d’informations sensibles comme les seed phrases de portefeuilles crypto.
Unity affirme avoir réagi rapidement en envoyant des correctifs privés à plusieurs partenaires stratégiques. L’entreprise prévoit aussi de publier des instructions publiques dès la semaine prochaine afin d’aider tous les développeurs à sécuriser leurs applications.
Unity et Google tentent de rassurer
À ce stade, aucune exploitation de la vulnérabilité n’a été confirmée. Unity assure qu’aucun utilisateur n’a perdu de données et encourage les studios à mettre à jour leurs projets sans attendre.
De son côté, Google reconnaît le problème et aide les éditeurs à publier rapidement les correctifs sur le Play Store.
Le géant américain indique que Google Play n’a trouvé aucune application malveillante exploitant cette vulnérabilité.
En revanche, les experts préviennent que le risque augmente fortement avec les APK installés en dehors des canaux officiels, car ces fichiers échappent aux contrôles de sécurité classiques.
Ils recommandent aux joueurs de mettre à jour leurs jeux dès la sortie des correctifs, de ne pas installer d’APK provenant de sources non vérifiées et de rester attentifs à l’usage de leur smartphone pour la gestion de leurs cryptoactifs.
Enfin, ils insistent sur la nécessité de séparer les usages, en conservant les portefeuilles sur un appareil distinct de celui destiné au jeu.
Un signal d’alarme pour l’écosystème crypto et gaming
Derrière cette brèche apparaît une réalité de plus en plus inquiétante : les portefeuilles cryptographiques mobiles rendent les utilisateurs de plus en plus vulnérables et sont devenus la cible favorite des cyber malfaiteurs.
Avec le rapprochement des univers du jeu et des actifs numériques, ces utilisateurs se retrouvent confrontés à de nouvelles menaces alors que la frontière entre les deux semble désormais ténue avec le gaming Web3 et des NFT.
Les experts sont d’avis que cette situation pourrait donner lieu à une sensibilisation accrue à la sécurité, tant chez les joueurs que chez les développeurs. En effet, la sécurité doit être une priorité dans le processus de développement en amont et pas une solution à envisager a posteriori.
À noter qu’en ce qui concerne les détenteurs de fonds numériques, le mot d’ordre reste le même : sauvegarder ses actifs de façon diversifiée et surtout ne pas conserver ses clés privées sur le même support.
Source : Cointelegraph
À lire aussi :
- SEAL : les hackers éthiques ont sauvé plus de 25 milliards $ en cryptomonnaies
- Pavel Durov : « C’est le Bitcoin qui m’a rendu riche, pas Telegram »
- Arthur Hayes voit le déficit français comme une opportunité pour Bitcoin