Android : Google corrige 124 failles dont un 0-day activement exploité

CVE-2025-48595 : un entier débordant dans le Framework Android, exploité avant le correctif

Le 2 juin 2026, Google a publié son bulletin de sécurité Android mensuel pour juin, un document technique d'une densité inhabituelle : 124 vulnérabilités corrigées réparties sur deux niveaux de correctifs, 2026-06-01 et 2026-06-05. Parmi ces failles, une seule est signalée comme faisant l'objet d'une exploitation active en conditions réelles : CVE-2025-48595, une élévation de privilèges locale (LPE) de haute sévérité (CVSS 8.4) affectant le Framework Android, la couche logicielle qui constitue l'épine dorsale de l'environnement d'exécution des applications sur Android.

Techniquement, CVE-2025-48595 est un débordement d'entier (integer overflow, CWE-190) présent dans plusieurs emplacements du code source du Framework Android. Ce type de vulnérabilité survient lorsqu'une opération arithmétique produit un résultat dépassant la capacité du type de données utilisé, provoquant un comportement indéfini exploitable. Dans le cas présent, un attaquant ayant déjà obtenu un point d'accès local sur l'appareil — via une application malveillante, un logiciel espion sideloadé, ou un autre vecteur d'exploitation initial — peut utiliser ce bug pour progresser depuis des privilèges applicatifs standard vers un accès de niveau système plus élevé, franchissant ainsi les mécanismes d'isolation d'Android.

La portée de CVE-2025-48595 est particulièrement étendue. La vulnérabilité affecte Android 14, Android 15, Android 16 et Android 16-QPR2 — soit l'intégralité des versions actuellement supportées et largement déployées sur le marché mondial. Étant une faille de niveau Framework (et non spécifique à un fabricant ou à un composant tiers), elle impacte les appareils de tous les constructeurs — Samsung, Xiaomi, OnePlus, Sony, Google Pixel inclus — indépendamment de leur version personnalisée d'Android. La seule condition : que l'appareil exécute une des versions Android susmentionnées sans le correctif de juin 2026.

Google a utilisé la formulation prudente « may be under limited, targeted exploitation » dans son bulletin — la formulation standardisée employée lorsque des acteurs sophistiqués exploitent activement une faille contre un nombre restreint de cibles à haute valeur, avant que la vulnérabilité ne devienne largement connue. Cette formulation est caractéristique des campagnes impliquant des fournisseurs de spywares commerciaux comme Pegasus (NSO Group), Predator (Intellexa) ou Graphite (Paragon), ou encore des groupes APT étatiques ciblant des journalistes, des militants, des diplomates ou des responsables gouvernementaux. La CISA américaine a ajouté CVE-2025-48595 à son catalogue KEV (Known Exploited Vulnerabilities), imposant aux agences fédérales d'appliquer le correctif dans un délai défini.

Aucune exploitation de masse ciblant le grand public n'a été documentée à ce stade. Cependant, l'histoire des zero-days Android montre que les failles initialement exploitées dans des campagnes ciblées tendent à être ultérieurement intégrées dans des exploits plus accessibles une fois que le code de preuve de concept commence à circuler dans les communautés de recherche. La fenêtre entre la divulgation publique et l'exploitation à grande échelle s'est considérablement réduite ces dernières années, selon les données de Google Project Zero, passant en moyenne de plusieurs mois à quelques semaines.

Le bulletin de juin 2026 répartit ses 124 correctifs en deux niveaux : le premier niveau (2026-06-01) couvre les correctifs du Framework Android, du système Android et de composants Google génériques ; le second niveau (2026-06-05) ajoute les correctifs pour les composants kernel, les pilotes de fabricants tiers (Qualcomm, MediaTek, Arm, Imagination Technologies) et les bibliothèques propriétaires. C'est ce second niveau qui contient les correctifs les plus sensibles pour les composants bas niveau, dont CVE-2025-48595. Les appareils Pixel de Google reçoivent ces mises à jour en priorité, tandis que les autres fabricants OEM les intègrent progressivement après une phase de test et de certification — un délai qui peut s'étendre de quelques jours à plusieurs semaines selon les constructeurs et les opérateurs téléphoniques.

Parmi les autres vulnérabilités notables corrigées dans ce bulletin, les chercheurs de Help Net Security et Cyber Insider signalent plusieurs failles critiques dans des pilotes GPU de Qualcomm et des composants de connectivité (Wi-Fi, Bluetooth) affectant des appareils spécifiques. Ces failles, bien que non confirmées comme exploitées en conditions réelles, présentent des scores CVSS élevés et pourraient, dans certaines configurations, être déclenchées sans interaction utilisateur, ce qui les classe dans la catégorie des risques à traiter en priorité.

Pour les appareils Pixel (Pixel 7 et versions ultérieures), la mise à jour de juin 2026 est disponible via les mises à jour système Over-The-Air (OTA). Pour les autres appareils Android, la disponibilité dépend du constructeur et de l'opérateur : Samsung a annoncé le déploiement de sa mise à jour de sécurité de juin pour la gamme Galaxy S25 et S24 à compter du 10 juin 2026, avec un déploiement progressif sur les modèles plus anciens dans les semaines suivantes. Les utilisateurs d'appareils ne recevant plus de mises à jour de sécurité — souvent des modèles de plus de trois ou quatre ans selon les fabricants — sont exposés de manière permanente et devraient envisager un remplacement pour maintenir un niveau de protection adéquat.

La fragmentation Android, obstacle persistant à la sécurité mobile d'entreprise

CVE-2025-48595 met en lumière une tension structurelle qui affecte l'écosystème Android depuis ses origines : la fragmentation des mises à jour de sécurité. Contrairement à Apple, qui contrôle l'intégralité de la chaîne matérielle et logicielle de ses appareils iOS et déploie des correctifs de sécurité simultanément sur l'ensemble du parc compatible, Google dépend de la réactivité d'une centaine de fabricants OEM et de milliers d'opérateurs télécoms pour que ses correctifs parviennent aux utilisateurs finaux. Cette architecture distribuée crée des fenêtres de vulnérabilité variables selon les marques, les modèles et les régions géographiques.

Les données publiées par Android Security dans ses rapports annuels montrent que malgré les efforts des dernières années — notamment via le programme Android Enterprise Recommended qui exige des fabricants un délai maximum de 90 jours pour les correctifs de sécurité — une fraction significative du parc Android mondial reste en retard. En 2025, environ 30 % des appareils actifs fonctionnaient sur une version non supportée ou non mise à jour, selon les statistiques de distribution Android publiées par Google, exposant des centaines de millions d'utilisateurs à des vulnérabilités connues.

La problématique des spywares commerciaux exploitant des zero-days Android est particulièrement préoccupante pour les entreprises. Dans un contexte professionnel où des appareils Android personnels (BYOD) sont utilisés pour accéder à des ressources d'entreprise — messagerie professionnelle, VPN, applications métier — une compromission via un spyware exploitant CVE-2025-48595 pourrait servir de point d'entrée initial dans un réseau d'entreprise. Les équipes sécurité doivent s'assurer que leurs politiques de gestion des appareils mobiles (MDM/EMM) imposent l'application des mises à jour de sécurité dans des délais contractuels, et envisager des contrôles de conformité bloquant l'accès aux ressources sensibles pour les appareils non à jour.

Sur le plan réglementaire, l'ajout de CVE-2025-48595 au catalogue KEV de la CISA illustre la volonté croissante des autorités américaines d'imposer des délais contraignants pour la remédiation des vulnérabilités activement exploitées. En Europe, NIS2 impose des obligations similaires aux opérateurs d'entités essentielles et importantes, avec une exigence de gestion proactive des vulnérabilités et de déploiement rapide des correctifs. Les organisations soumises à ces réglementations doivent documenter leur processus de remédiation pour CVE-2025-48595 et être en mesure de justifier les délais auprès de leurs autorités de supervision en cas d'audit ou d'incident.

Ce qu'il faut retenir

• CVE-2025-48595 est un zero-day Android activement exploité dans des attaques ciblées, probablement par des spywares commerciaux ou des APT étatiques — mettez à jour vos appareils dès que possible.
• La faille touche toutes les versions Android supportées (14, 15, 16) sur tous les fabricants ; le correctif figure dans le niveau de patch 2026-06-05 du bulletin de sécurité de juin.
• Les équipes sécurité doivent s'assurer que les politiques MDM imposent l'application des correctifs Android dans des délais définis et bloquer l'accès aux ressources d'entreprise pour les appareils non conformes.