Sur Android 16, l'assistant Gemini acceptait d'envoyer des messages et de passer des appels sans réclamer le code de déverrouillage. N'importe qui tenant le téléphone pouvait en profiter. Google déploie un correctif.
Une faille au ras de l'écran verrouillé
Repéré sur Android 16, le défaut est aussi simple que gênant. Sur les appareils concernés, une personne qui tient votre téléphone verrouillé pouvait demander à Gemini d'envoyer un SMS ou un message WhatsApp, et même de passer un appel, sans jamais saisir le code PIN. L'assistant exécutait la commande vocale ou tactile comme si l'écran était déverrouillé.
Le contournement des protections
Le plus troublant tient au contournement. Même après avoir coupé l'accès de Gemini aux SMS, la barrière sautait. En appuyant en même temps sur « Continue » et « Add attachment », puis en tapant « @WhatsApp » dans la fenêtre de Gemini, l'application se reconnectait sans code. The Register, qui a révélé l'affaire, dit avoir recensé des signalements depuis mai 2026. Un porte-parole de Google a confirmé le bogue et annoncé un correctif déployé cette semaine.
Les Pixel, et au-delà
Le problème ne se limite pas aux téléphones Pixel de Google. D'autres marques sous Android 16 seraient touchées, même si certains utilisateurs de Samsung affirment ne pas reproduire la faille sur leurs appareils. Google n'a pas publié la liste complète des modèles vulnérables.
En attendant la mise à jour, un réflexe protège : désactiver l'accès de Gemini depuis l'écran verrouillé, via le réglage « Gemini sur l'écran de verrouillage ». La bascule bloque l'assistant tant que le code n'a pas été saisi.
Ouvrir un assistant IA sur l'écran verrouillé est pratique, mais chaque raccourci ajouté à cet écran devient une porte à surveiller. L'épisode rappelle une règle simple à mesure que l'IA s'installe partout dans le téléphone : plus l'assistant peut agir, plus il faut border ce qu'il peut faire sans preuve que c'est bien vous.
