Le dernier bulletin de sécurité mensuel publié par Google ne recense que deux vulnérabilités seulement, mais elles touchent le Framework et StrongBox, deux composants sensibles du système. Si vous êtes détenteur d’un Pixel, vous savez ce qu’il vous reste à faire.
Google vient de publier son bulletin de sécurité Android d’avril 2026, et il contient de quoi accélérer votre passage par les paramètres de mise à jour système. Au programme de cette livraison mensuelle, on trouve en effet une faille critique affectant un composant central de l’OS, ainsi qu’une seconde vulnérabilité de gravité élevée, logée dans le sous-système chargé de protéger certaines clés et données sensibles.
Deux failles au compteur, mais pas dans n’importe quels composants
La vulnérabilité la plus grave du mois porte l’identifiant CVE-2026-0049. Elle affecte le Framework Android et peut entraîner un déni de service local, c’est-à-dire faire planter ou bloquer l’appareil, sans privilèges d’exécution supplémentaires ni interaction de l’utilisateur ou de l’utilisatrice. Google indique qu’elle concerne plusieurs branches d’AOSP, la version open source d’Android, notamment Android 14, 15, 16 et 16-qpr2.
La seconde faille, CVE-2025-48651, concerne StrongBox, le sous-système matériel chargé de protéger des clés cryptographiques adossées au matériel et d’autres données sensibles. Ici, Google n’a pas précisé le type d’impact qui pourrait en résulter, mais le bulletin signale le même problème chez plusieurs fournisseurs, dont Google, NXP, STMicroelectronics et Thales, ce qui laisse penser qu’il touche plusieurs implémentations matérielles de ce composant.
Un déploiement déjà lancé, mais progressif
Comme toujours, Google a diffusé son correctif en deux temps. Le niveau de sécurité du 1er avril 2026 couvre la faille du Framework, tandis que celui du 5 avril 2026 corrige la vulnérabilité dans StrongBox.
Le patch devrait ainsi être automatiquement proposé sur votre smartphone dans les jours à venir. Pour accélérer le processus, vous pouvez également tenter de le chercher manuellement dans les paramètres de mise à jour de votre Pixel.
Le Framework Android est la couche logicielle centrale qui fournit aux applications et au système des services communs (gestion des permissions, notifications, activités, accès aux capteurs, etc.). Comme il se situe entre les apps et les composants bas niveau, un bug exploitable à cet endroit peut affecter la stabilité globale de l’OS. Un « déni de service local » signifie qu’un processus sur l’appareil peut provoquer un crash ou un blocage, sans forcément voler des données. « Local » indique que l’attaque part d’un contexte déjà présent sur le terminal (par exemple une app), pas nécessairement d’Internet. Même sans privilèges élevés, toucher le Framework peut suffire à faire tomber des services essentiels.
Que signifie « déni de service local sans interaction utilisateur » sur Android ?Un déni de service (DoS) vise à rendre une fonction indisponible, typiquement en faisant planter un service ou en saturant une ressource. « Local » implique que l’exploit se déclenche depuis l’appareil lui-même, souvent via une application ou un composant déjà exécuté. « Sans interaction utilisateur » veut dire qu’aucun clic, validation ou action particulière n’est requis pour déclencher le problème, ce qui réduit les barrières à l’exploitation. « Sans privilèges supplémentaires » indique que l’attaquant n’a pas besoin d’obtenir des droits système (root) pour provoquer l’instabilité. L’impact principal attendu est la perturbation (redémarrages, freeze, crash), pas nécessairement la compromission de données.
À quoi sert StrongBox dans Android, et en quoi est-ce différent d’un simple stockage chiffré ?StrongBox est une implémentation matérielle de la gestion de clés (Keymaster/Keystore) conçue pour isoler les secrets cryptographiques du reste du système. Concrètement, les clés restent dans un composant sécurisé (souvent un Secure Element ou équivalent) et les opérations cryptographiques sensibles peuvent s’y exécuter sans exposer la clé au processeur principal. Cela limite l’impact d’un malware ou d’une compromission logicielle, car extraire la clé devient beaucoup plus difficile. Ce n’est pas juste « des fichiers chiffrés » : c’est une architecture où le matériel applique des protections (isolation, anti-tamper, politiques d’usage des clés). Une vulnérabilité StrongBox peut donc concerner la chaîne de confiance autour des clés, avec des conséquences potentielles sur l’authentification, le paiement, ou certaines protections d’apps.
