Mise à jour des smartphones OnePlus : mise en place d’une protection anti-retour arrière au niveau matériel

 (consumerrights.wiki)
1 points par GN⁺ 2026-01-26 | 1 commentaires | Partager sur WhatsApp
  • Le firmware ColorOS 16.0.3.501 déployé en janvier 2026 inclut une fonction anti-rollback matérielle qui bloque de façon permanente l’installation d’anciennes versions ou le flash de ROM custom
  • Cette mise à jour modifie physiquement les eFuses du processeur Qualcomm, si bien qu’une tentative d’installation d’une version antérieure fait basculer l’appareil dans un état de panne totale irréversible (hard brick)
  • De nombreux modèles sont concernés, dont les OnePlus 13, 15 et la série Ace 5, et les paquets de downgrade de certains anciens modèles ont aussi été retirés du site officiel
  • Sur le forum XDA, il est recommandé aux utilisateurs de ROM custom d’« éviter les mises à jour OTA en versions .500, .501 et .503 », et à ceux qui ont déjà mis à jour de renoncer à installer une ROM custom
  • OnePlus et OPPO n’ont publié aucune position officielle, et dans le secteur cette restriction est jugée bien plus sévère que Samsung Knox

Vue d’ensemble de l’incident

  • En janvier 2026, le firmware ColorOS 16.0.3.501 diffusé par OnePlus a introduit une protection anti-retour arrière au niveau matériel
    • Cette fonction empêche de manière permanente l’utilisateur d’installer un ancien firmware ou une ROM custom
    • Elle modifie l’état en « brûlant » les eFuses présents dans la zone Qfprom (Programmable Read-Only Memory) du chipset Qualcomm
  • Une fois le fusible modifié, il ne peut pas être restauré par logiciel, et il est indiqué que le remplacement de la carte mère est l’unique méthode de récupération
  • OnePlus n’a publié aucune déclaration officielle ni explication sur ce mécanisme

Contexte

  • OnePlus a été fondée en 2013 par Pete Lau et Carl Pei et s’est d’abord fait connaître dans la communauté du modding avec le OnePlus One, livré avec une ROM custom basée sur CyanogenMod
  • Après la fin de son partenariat avec Cyanogen, la marque a développé OxygenOS (global) et HydrogenOS (Chine)
  • En 2021, l’intégration du codebase avec ColorOS d’OPPO a conduit à la transition vers le système actuel basé sur ColorOS
Publicité

Chronologie

  • 18 janvier : après la mise à jour vers ColorOS 16.0.3.501, des utilisateurs signalent des cas d’entrée en mode EDL (9008) et d’impossibilité de récupération après avoir tenté de revenir à une version antérieure
  • 19 janvier : l’utilisateur du forum XDA AdaUnlocked publie un fil d’alerte avec des preuves de modification des fusibles CPU
    • Des services de récupération payants avertissent eux aussi de ne pas downgrader les appareils Snapdragon 8 Elite
    • Certains utilisateurs rapportent des cas nécessitant un remplacement de la carte mère
  • Après le 19 janvier : OnePlus supprime sur son forum officiel les liens vers les firmwares de downgrade, y compris le paquet pour le OnePlus 12
  • 24 janvier : AdaUnlocked confirme que « l’ancienne ROM a été reconditionnée avec le même numéro de version en y ajoutant le déclencheur des fusibles »

Appareils concernés

  • OnePlus 12 : ColorOS 16.0.3.500, 15.0.0.862
  • OnePlus 13 / 13T : ColorOS 16.0.3.501, 15.0.0.862
  • OnePlus 15 : ColorOS 16.0.3.503
  • OnePlus Ace 5 / Ace 5 Pro : ColorOS 16.0.3.500, 15.0.0.862
  • Sont aussi concernés les OPPO Find X7 Ultra, OPPO Pad 4 Pro, OnePlus Pad 2 Pro / Pad 3, entre autres
  • Les versions 16.0.2.402 et antérieures ne sont pas touchées, et la communauté recommande d’éviter les OTA en .500, .501 et .503
  • Android Authority indique que la série OPPO Find X8 présente un risque élevé, et évoque la possibilité de mises à jour similaires pour les OnePlus 11 et 12

Mécanisme technique

  • Les eFuses Qfprom sont des fusibles électroniques programmables une seule fois : lorsqu’une impulsion de tension fait passer leur état de « 0 » à « 1 », le changement est irréversible
  • Au démarrage, le Primary Boot Loader vérifie le XBL (eXtensible Boot Loader), et si la version du firmware est inférieure à la valeur inscrite dans les fusibles, le démarrage est refusé
  • Une fois le nouveau firmware démarré correctement, des fusibles supplémentaires sont « brûlés » via le Qualcomm TrustZone, ce qui enregistre de façon permanente une version minimale autorisée
  • Le mode EDL (USB 9008) ne permet pas de contourner cette protection
    • Le programmeur Firehose exige une signature OEM, et il devient inutilisable si les fusibles ont déjà été modifiés
    Publicité
  • D’après l’explication publiée sur XDA, le « fusible brûlé » ne correspond pas à un dommage physique ou thermique, mais à une commutation électrique de portes logiques, qui bloque complètement le chemin d’exécution des anciens logiciels

Impact sur les ROM custom

  • Le forum XDA avertit qu’« à partir de ColorOS 16.0.3.501, l’installation d’une ROM custom existante provoque immédiatement un hard brick »
  • La plupart des ROM custom étant conçues sur la base de firmwares antérieurs à l’introduction de cette politique de fusibles, elles ne sont pas compatibles avec le nouveau firmware
  • Le développeur AdaUnlocked indique que les ROM custom, ports et travaux sur GSI deviennent inexploitables sur les appareils où les fusibles sont activés
  • La communauté recommande de ne pas installer de ROM custom sur les appareils déjà mis à jour et d’attendre qu’un développeur annonce explicitement une prise en charge basée sur le nouveau firmware

Réponse des entreprises

  • Au 22 janvier 2026, ni OnePlus ni OPPO n’avaient publié de déclaration officielle, de réponse sur leur forum ou de mention sur les réseaux sociaux
  • Le 19 janvier, la suppression des paquets de downgrade du forum officiel est interprétée comme une mesure délibérée

Comparaison avec d’autres fabricants

  • Samsung Knox utilise lui aussi des fonctions de sécurité basées sur des eFuses, mais en cas d’installation d’un firmware non officiel, cela se limite généralement à la désactivation de Samsung Pay et du Dossier sécurisé
  • Android Authority précise que l’approche de OnePlus est bien plus stricte et bloque le démarrage lui-même
  • DroidWin souligne que « le flash via EDL n’est utilisé que par 1 à 2 % de l’ensemble des utilisateurs ; pénaliser la majorité pour empêcher cela n’est pas rationnel »

À lire aussi

1 commentaires

 
GN⁺ 2026-01-26
Avis sur Hacker News

  • Quelqu’un a affirmé qu’en situation de guerre, les ennemis des États-Unis pourraient être « libérés » de leurs appareils
    La fonction Qfprom (One-Time Programmable Fuse) de Qualcomm a été mentionnée ; il s’agit d’un fusible électronique à usage unique utilisé pour mettre en œuvre l’anti-rollback
    Certains ont ironisé sur le fait que c’était « prévenant » d’avoir conçu une telle fonctionnalité, et ont avancé que si des CPU chinois comme Loongson ou russes comme Baikal sont sanctionnés, c’est parce qu’ils sont plus difficiles à désactiver que ce type de fusibles programmatiques

    • Ce mécanisme existe pour empêcher le downgrade du bootloader
      Dans une chaîne de confiance, dès qu’une vulnérabilité apparaît, elle compromet le système pour toujours ; c’est donc une mesure destinée à l’empêcher
      C’est un concept ancien, déjà présent à l’époque du Motorola p2k il y a 25 ans, et selon cet avis, l’informatique de confiance n’est pas mauvaise en soi
    • La mémoire OTP est un composant central de presque tous les systèmes de sécurité
      On y hache la clé propre à l’appareil ou la racine de la chaîne de certificats, afin d’empêcher un attaquant d’installer un ancien firmware et d’exploiter des vulnérabilités
      Certains ont même jugé surprenant que cette fonction n’ait pas existé jusqu’à présent
    • Les eFuse sont une technologie utilisée depuis longtemps dans les MCU et les processeurs au stade de la fabrication
      Par exemple, si plusieurs cartes comme des cartes d’entrée/sortie audio utilisent le même MCU mais doivent se comporter différemment selon la configuration, on peut figer les réglages via eFuse pour empêcher le firmware de configurer de mauvais GPIO
    • Une méthode plus simple consisterait à dissimuler dans le CPU un bloc logique de kill switch qui s’active lorsqu’il détecte une certaine séquence de bits
    • Selon un commentaire, si la Chine investit dans l’architecture open source RISC-V, c’est aussi pour éviter ce type de sanctions ou de dépendance à des technologies fermées

  • Certains soutiennent que cette affaire dépasse le simple droit à la réparation et relève du problème même de la propriété
    Elle montrerait une fois de plus qu’avec les mises à jour à distance, l’utilisateur ne possède jamais complètement son appareil

    • Même chose avec les voitures : il est impossible de désactiver le module de communication dans le toit
      Les constructeurs vont jusqu’à envoyer un email pour prévenir du moment où il faut changer l’huile, ce qui amène à se demander si l’on peut vraiment parler de « propriété » d’une voiture
    • Le reçu d’achat est censé prouver la propriété, mais une désactivation à distance à grande échelle de ce type violerait le CFAA (Computer Fraud and Abuse Act) et relèverait pratiquement de la vente frauduleuse, selon cet avis
      Si la direction en avait connaissance, cela pourrait même relever du RICO
      Et même en gagnant en justice, le résultat finirait sans doute, de façon cynique, en un simple « coupon de 10 dollars sur le prochain téléphone OnePlus »

  • Certains se sont demandé ce que OnePlus gagnait à faire cela
    Il y avait même le soupçon qu’une hausse des remplacements de carte mère après échec de mise à jour puisse être rentable
    Certains ont aussi supposé que l’ancien incident de green line pouvait être un cas où un fusible matériel s’était mal déclenché pendant une mise à jour logicielle

    • Il existait apparemment un bug permettant de réactiver un téléphone volé après réinitialisation, et cette mesure viserait à empêcher les attaques par downgrade
      Il pourrait s’agir d’une mesure anti-vol ou d’une exigence de conformité imposée par les opérateurs ou par Google
    • Une vulnérabilité du bootloader permettait, avec un accès physique, de démarrer un OS arbitraire ; il faut donc bloquer le downgrade via eFuse
      Cela n’interdit pas l’usage de ROM custom en soi, seulement des ROM d’anciennes versions
      Les ROM construites sur un firmware plus récent devraient démarrer normalement
      Donc si les développeurs de ROM prennent en charge le nouveau firmware, l’usage de ROM custom redeviendra possible
    • Du point de vue de la direction, il ne faut pas donner à l’utilisateur le contrôle du matériel
      La vente de matériel seule ne suffit pas à générer assez de revenus, donc il s’agirait plutôt de retenir les utilisateurs dans l’écosystème OS de la marque et de collecter leurs données
    • Apple applique de manière similaire une politique de downgrade impossible après 7 jours
      OnePlus l’implémente au niveau matériel, Apple via la signature
      Selon cet avis, les utilisateurs devraient avoir le droit de signer eux-mêmes leur OS et de l’exécuter
      Une plainte à propos de problèmes de synchronisation avec l’Apple Watch sous iOS 26 a également été mentionnée

  • Ce type d’anti-rollback basé sur eFuse est déjà une fonction courante des SoC depuis 10 à 20 ans
    Lorsqu’un root exploit est découvert, griller l’eFuse pour empêcher le retour à un ancien firmware vulnérable est une procédure de sécurité standard
    Certains disent comprendre l’attrait des ROM ou du jailbreak, mais que cela repose justement sur des anciens firmwares vulnérables

    • D’autres ont rétorqué que « ce n’est pas normal »
      Si j’ai acheté mon téléphone, je devrais avoir le droit de décider quel logiciel y faire tourner
      Si une mise à jour envoie mes données dans un autre pays, je devrais avoir la liberté de revenir à la version précédente
      Or ce changement supprime cette liberté et, si on essaie, le téléphone devient une brique

  • Selon l’OP, ce changement n’empêche pas en soi le déverrouillage du bootloader
    En revanche, il rend les anciennes ROM custom incompatibles ; il faut donc développer des ROM adaptées au nouvel état des eFuse

    • Quelqu’un a alors demandé : « concrètement, que faut-il faire pour qu’elles soient compatibles ? »
      La question portait sur le processus de création d’une ROM compatible avec l’état des eFuse

  • Un utilisateur a expliqué avoir vu hier la notification de mise à jour et avoir désactivé les mises à jour automatiques
    Il ne compte pas mettre à jour tant que la situation n’est pas plus claire

  • La formule « on meurt en héros ou on vit assez longtemps pour devenir un méchant » a été utilisée pour tourner en dérision l’évolution de OnePlus

    • Un autre a ajouté que « les signes étaient déjà là dès le lancement de la gamme Nord »

  • L’EU Cyber Resilience Act (CRA) imposerait à partir de 2027 un démarrage inviolable sur tous les appareils
    Cela risquerait de réduire le FOSS et la réparabilité, avec pour effet secondaire que le matériel deviendrait une brique si le fournisseur disparaît

  • Autrefois, les téléphones Android sans marque basés sur des SoC Mediatek étaient déverrouillés par défaut et se briquaient rarement, ce qui favorisait une culture du modding florissante
    On se souvient que les eFuse existaient déjà, mais que le logiciel ne s’en servait pas

  • Pendant le processus de démarrage, le XBL (Extensible Boot Loader) lit la version anti-rollback dans les fusibles Qfprom et la compare à la version contenue dans le firmware
    Si le nouveau firmware démarre avec succès, le fusible est grillé via TrustZone pour mettre à jour la version minimale
    Si une ROM custom repose sur un ancien firmware, elle est bloquée immédiatement

    • Une explication technique précise que XBL et ABL (Secondary Bootloader) portent des informations de version et qu’elles sont rejetées si elles sont inférieures à la valeur de l’eFuse
      Android Verified Boot (AVB) compare le hash du kernel à la signature de la partition vbmeta, tandis que la version minimale est stockée dans le Replay Protected Memory Block (RPMB) pour empêcher les rollbacks
      La partition super est un système de fichiers racine en lecture seule protégé par dm-verity
    • Un autre utilisateur a ajouté que pour que cela fonctionne, la métadonnée signée doit contenir la version
      Si l’utilisateur peut signer lui-même ou désactiver la vérification de signature, alors tant que la condition de version est respectée, il devrait pouvoir démarrer ce qu’il veut