CVE-2025-48595 : 0-day Android exploité activement, CVSS 8.4

Les faits

Le 1er juin 2026, Google a publié son bulletin de sécurité Android mensuel corrigeant 124 vulnérabilités. Parmi cet ensemble, une seule faille est signalée comme activement exploitée dans la nature : CVE-2025-48595. Le lendemain, le 2 juin 2026, la CISA (Cybersecurity and Infrastructure Security Agency) a ajouté cette vulnérabilité à son catalogue KEV (Known Exploited Vulnerabilities), confirmant officiellement son exploitation réelle contre des cibles. La combinaison d'un zero-day actif, d'une portée couvrant les quatre dernières versions majeures d'Android, et d'une exploitation confirmée en fait la menace mobile la plus urgente de juin 2026.

CVE-2025-48595 est un débordement d'entiers (integer overflow) localisé dans le composant Android Framework, la couche centrale d'APIs et de services système avec laquelle toutes les applications Android interagissent directement. Ce composant opère avec des privilèges système élevés, ce qui en fait une cible de premier ordre pour tout attaquant cherchant à franchir les frontières de permission du modèle de sécurité Android. D'après le NVD/NIST, le vecteur CVSS complet est : AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H — vecteur local, complexité faible, aucun privilège préalable, aucune interaction utilisateur, impact total en confidentialité, intégrité et disponibilité.

Techniquement, un débordement d'entiers se produit lorsqu'une opération arithmétique sur une variable de taille fixe produit un résultat excédant sa capacité maximale. Dans le cas de CVE-2025-48595, cet overflow se traduit par un état mémoire corrompu dans le processus Framework. Un attaquant capable de provoquer cet état peut détourner le flux d'exécution pour faire tourner du code arbitraire avec les privilèges du processus Framework, contournant ainsi les mécanismes d'isolation (sandboxing) et d'élévation explicite (permission model) d'Android. Selon Help Net Security, ce chemin d'exploitation est reproductible de façon fiable une fois les conditions réunies.

L'identifiant CVE-2025-48595 indique que la faille a été découverte ou rapportée en 2025. Elle n'a cependant été corrigée qu'avec le bulletin de juin 2026, révélant un délai potentiel de plusieurs mois entre la découverte initiale et la disponibilité publique du correctif. Ce type de délai s'explique généralement par un processus de divulgation responsable (responsible disclosure) où le chercheur accorde à l'éditeur le temps de développer et tester un patch. Mais il laisse aussi une fenêtre d'exploitation silencieuse. Google a confirmé dans son bulletin : "There are indications that CVE-2025-48595 may be under limited, targeted exploitation." — formulation systématiquement réservée aux failles avec exploitation in-the-wild avérée.

Les versions affectées couvrent Android 14, 15, 16 et 16-QPR2. Ces quatre versions regroupent la grande majorité du parc Android actif mondial. La fragmentation de l'écosystème Android est un facteur aggravant majeur : contrairement à iOS où Apple contrôle directement les mises à jour, Android délègue la distribution des patchs aux constructeurs OEM (Samsung, Xiaomi, OnePlus, Oppo, Motorola, etc.) qui adaptent chaque correctif à leurs propres couches logicielles. Ce processus peut prendre de deux à huit semaines après la publication du bulletin Google. Les appareils Google Pixel reçoivent les mises à jour directement et sont déjà protégés. Les appareils en fin de support officiel ne recevront aucun correctif pour CVE-2025-48595.

La surface d'exploitation est étendue par les modes d'accès propres aux environnements professionnels. Les solutions MDM (Mobile Device Management) et EMM (Enterprise Mobility Management) permettent l'installation d'applications d'entreprise hors Google Play Store via des profils d'inscription, ce qui élargit le spectre des vecteurs d'exploitation initiale. Un attaquant ayant compromis une application distribuée via un canal MDM — ou capable de distribuer une application malveillante imitant un outil légitime — pourrait exploiter CVE-2025-48595 comme deuxième étage d'une chaîne d'exploitation. D'après BleepingComputer, les appareils exécutant le niveau de correctif de sécurité 2026-06-05 ou ultérieur sont intégralement protégés.

Dans un contexte de cyberespionnage, CVE-2025-48595 présente un profil d'exploitation caractéristique des opérations de surveillance mobile avancées. L'absence d'interaction utilisateur (UI:N) signifie qu'aucune action de la victime n'est requise après le déclenchement de l'exploit : pas de clic sur un lien, pas d'approbation d'installation. Une application malveillante capable d'appeler des APIs Framework peut déclencher la faille silencieusement en arrière-plan. Ce profil d'exploitation est historiquement associé à des acteurs étatiques ou à des fournisseurs de logiciels espions commerciaux (mercenary spyware). La formulation "limited, targeted exploitation" utilisée par Google confirme ce profil : des cibles précises plutôt qu'une campagne de masse.

Sur le plan de la post-exploitation, une élévation de privilèges réussie via CVE-2025-48595 donne à l'attaquant un accès aux données protégées par Android Keystore (clés cryptographiques, certificats), aux tokens d'authentification OAuth2/SAML stockés par les applications, aux SMS, journaux d'appels et données de localisation, ainsi qu'aux conteneurs d'applications professionnelles (Android Enterprise Work Profile). Pour une organisation, un terminal Android compromis via cette faille représente une porte d'entrée latérale vers ses systèmes d'information internes si l'appareil est utilisé pour accéder à des ressources VPN ou des applications métiers. D'après The Hacker News, le bulletin de sécurité Android de juin 2026 couvre 124 vulnérabilités au total.

Impact et exposition

Les versions Android 14, 15, 16 et 16-QPR2 représentent collectivement plusieurs centaines de millions d'appareils actifs dans le monde. La concentration de l'exploitation sur des cibles à haute valeur (personnalités politiques, journalistes, cadres dirigeants, avocats, défenseurs des droits humains) est la dynamique la plus probable à court terme, compte tenu de la formulation "limited, targeted" de Google. Néanmoins, la disponibilité croissante d'outils d'exploitation semi-automatisés pourrait élargir rapidement la base d'attaquants capables d'opérationnaliser CVE-2025-48595.

Pour les entreprises, le risque est particulièrement élevé dans les environnements BYOD (Bring Your Own Device) où des terminaux personnels non maîtrisés accèdent aux ressources d'entreprise. Un appareil BYOD compromis peut exfiltrer des tokens d'authentification donnant accès aux emails professionnels (Microsoft 365, Google Workspace), aux outils collaboratifs (Teams, Slack), aux applications ERP ou CRM. Dans un scénario BEC (Business Email Compromise), cela peut conduire à des fraudes financières ou à une compromission de la chaîne d'approvisionnement numérique.

Les conditions d'exploitation sont accessibles : vecteur local mais atteignable via une application tierce, complexité faible, aucun privilège requis. Pour les appareils BYOD sans solution MDM imposant un niveau de patch minimal, il n'existe aucun mécanisme de contrôle compensatoire. Les politiques NAC (Network Access Control) qui vérifient le niveau de patch Android avant d'autoriser la connexion VPN ou WiFi d'entreprise constituent la seule barrière organisationnelle efficace dans l'attente du correctif OEM.

Les appareils fonctionnant sous Android 13 ou antérieur ne sont pas affectés par CVE-2025-48595 spécifiquement, mais ils présentent leurs propres vulnérabilités non corrigées liées à leur fin de support. Dans tous les cas, tout terminal Android sans mises à jour de sécurité récentes doit être considéré comme une surface d'attaque non maîtrisée.

Recommandations immédiates

• Appliquer le patch Android 2026-06-05 ou ultérieur dès que disponible — advisory : Google Android Security Bulletin June 2026
• En priorité : vérifier les appareils Pixel (patch immédiat disponible), puis surveiller les mises à jour OEM Samsung One UI, MIUI, ColorOS, OxygenOS
• Déployer via MDM/EMM (Intune, Jamf, MobileIron) une politique de conformité exigeant Android Security Patch Level >= 2026-06-05 et isoler les appareils non conformes
• Désactiver l'installation d'applications depuis des sources inconnues (Paramètres > Applications > Sources inconnues) sur tous les terminaux d'entreprise
• Pour les profils à haut risque (dirigeants, administrateurs systèmes, accès financiers) : envisager la révocation temporaire des tokens d'authentification mobiles jusqu'à confirmation du patch
• Les appareils en fin de support sans correctif disponible : retirer l'accès aux ressources sensibles ou remplacer le terminal