Google vient de publier son bulletin de sécurité Android mensuel. Au programme, 124 failles corrigées, dont une vulnérabilité du Framework déjà exploitée dans des attaques ciblées.
Les mises à jour de sécurité Android se suivent et ne se ressemblent pas. Celle de juin sort du lot, et pas seulement parce qu’elle corrige 124 failles. Google y colmate une vulnérabilité de gravité élevée dans le Framework Android, déjà associée à des signes d’exploitation limitée et ciblée. Les détails manquent encore, mais l’information doit vous inciter à télécharger et installer le patch sans traîner.
Offre partenaire
Votre petite entreprise a de grandes ambitions. Protégez-là contre les pirates. Et développez sereinement votre activité !
Offre partenaire
Un correctif prioritaire pour éviter l’escalade de privilèges
Dans le détail, la vulnérabilité la plus sensible du bulletin est suivie sous la référence CVE-2025-48595 et touche le Framework Android, cette partie du système qui fournit aux applications les services et API nécessaires pour dialoguer avec l’OS.
Exploitée localement, elle peut permettre à un attaquant d’obtenir davantage de privilèges sur un appareil déjà compromis, avec un risque d’exécution de code sur les versions concernées. En clair, la faille ne permet pas nécessairement de prendre le contrôle d’un smartphone à elle seule, mais elle peut servir à renforcer une attaque déjà engagée en donnant plus de droits à l’assaillant.
D’après Google, la vulnérabilité pourrait déjà faire l’objet d’une exploitation limitée et ciblée. Comme souvent dans les dossiers les plus sensibles, l’entreprise ne fournit aucune information sur les cibles, les méthodes employées ni les acteurs impliqués, et garde les détails techniques pour elle, le temps que les correctifs commencent à circuler.
Sont concernés les appareils Android 14 et versions ultérieures, y compris ceux tournant sur Android 16 QPR2. Le correctif est intégré au niveau de patch daté du 1er juin 2026, mais son arrivée effective dépendra du calendrier de chaque constructeur. Les Pixel devraient être servis rapidement, tandis que les autres modèles devront attendre la mise à jour validée par leur marque.
Une mise à jour mensuelle chargée, à appliquer sans attendre
En marge de cette faille zero-day, la mise à jour de juin corrige 123 autres vulnérabilités réparties dans plusieurs composants d’Android, du Framework au système, en passant par le noyau et certaines briques fournies par Qualcomm, MediaTek, UNISOC ou Imagination Technologies. Plusieurs failles sont classées critiques, dont une seconde vulnérabilité du Framework susceptible d’entraîner une élévation de privilèges à distance, sans privilèges préalables ni interaction de l’utilisateur.
Google publie comme d’habitude deux niveaux de patchs, datés du 1er et du 5 juin 2026. Le second inclut l’ensemble des corrections du mois, y compris celles liées au noyau et aux composants tiers, qui ne concernent pas forcément tous les appareils. Il faut donc vérifier sans trop attendre le niveau de correctif de sécurité Android dans les paramètres du téléphone et installer la mise à jour dès qu’elle est proposée.
Le Framework Android est la couche logicielle qui expose aux applications les API et services système (permissions, accès aux capteurs, notifications, gestion des activités, etc.). Comme il se situe au cœur des interactions entre applis et système, une vulnérabilité dans cette couche peut toucher un grand nombre de scénarios, même sans viser une application particulière. Une faille du Framework peut aussi faciliter des contournements de permissions ou des accès non prévus à des ressources protégées. C’est l’une des raisons pour lesquelles les correctifs qui le concernent sont généralement considérés comme prioritaires.
Que signifie “élévation de privilèges” sur Android, et en quoi est-ce différent d’un piratage complet à distance ?Une élévation de privilèges (EoP) correspond au fait d’obtenir plus de droits que prévu sur l’appareil, par exemple passer d’un contexte d’application limitée à des privilèges système. Ce type de faille est souvent utilisé après une première étape d’intrusion (via une appli malveillante, une autre vulnérabilité, ou un accès déjà obtenu), pour “verrouiller” l’attaque et accéder à des données ou fonctions normalement interdites. À l’inverse, une compromission à distance “pure” implique de pouvoir déclencher l’attaque sans accès préalable à l’appareil, parfois sans action de l’utilisateur. Une EoP n’est donc pas toujours suffisante seule, mais elle peut transformer une intrusion partielle en compromission beaucoup plus grave.
À quoi correspondent les niveaux de correctif de sécurité Android datés (1er et 5 du mois), et pourquoi tous les téléphones ne reçoivent pas la mise à jour en même temps ?Le “niveau de correctif de sécurité” (Android Security Patch Level) est une date affichée dans les paramètres qui indique jusqu’à quel lot de correctifs l’appareil est protégé. Google publie typiquement deux paliers : un premier (ex. le 1er) pour un ensemble de correctifs communs, et un second (ex. le 5) qui inclut en plus des correctifs liés au noyau et à certains composants matériels ou fournisseurs. Tous les appareils ne partagent pas les mêmes puces ni les mêmes briques logicielles, donc certains correctifs ne sont pertinents que pour une partie du parc. La diffusion dépend ensuite du constructeur (tests, intégration, validation opérateur), ce qui explique les décalages entre Pixel et d’autres marques.
