Android zero-day CVE-2025-48595 : Google corrige 124 failles dont une exploitée activement

Les faits

Le 2 juin 2026, Google a publié son bulletin de sécurité mensuel pour Android, corrigeant 124 vulnérabilités réparties sur deux niveaux de patch : 2026-06-01 et 2026-06-05. Le second niveau consolide toutes les corrections du premier, auxquelles s'ajoutent les correctifs pour les composants tiers en source fermée et les sous-composants noyau. C'est l'un des bulletins les plus denses de l'année en cours.

Parmi ces 124 failles, une retient particulièrement l'attention : CVE-2025-48595, une vulnérabilité de type élévation de privilèges dans le framework Android, avec un score CVSS de 8.4. Google a confirmé que cette faille fait l'objet d'une exploitation ciblée active dans la nature, qualifiée de « limitée » dans l'advisory officiel — une formulation habituelle pour désigner des attaques de type espionnage ou ciblage d'activistes avant diffusion publique du PoC.

Techniquement, CVE-2025-48595 est causée par un dépassement d'entier (integer overflow) dans plusieurs localisations du framework Android. Ce type de bug permet à un attaquant local d'obtenir l'exécution de code avec élévation de privilèges, sans interaction de l'utilisateur et sans nécessiter de permissions supplémentaires. La surface d'attaque est donc particulièrement préoccupante pour les scénarios où l'attaquant a déjà posé un premier pied sur l'appareil — via une application malveillante sideloadée, un exploit initial ou un accès physique.

La faille impacte Android 14, 15, 16 et 16 QPR2, couvrant ainsi l'immense majorité du parc installé mondial. Selon les statistiques de distribution Android publiées par Google début 2026, ces versions représentent plus de 78 % des appareils actifs. Les appareils Pixel ont reçu les correctifs OTA en priorité le 2 juin, tandis que les autres constructeurs (Samsung, Xiaomi, OnePlus, Oppo, etc.) disposent de 30 à 90 jours selon leurs pratiques habituelles pour déployer les mises à jour.

En dehors du zero-day, le bulletin de juin 2026 comble plusieurs failles critiques et hautes dans des composants comme Qualcomm (GPU Adreno, modem baseband), MediaTek, et des bibliothèques système Android. Les composants Qualcomm fermés représentent historiquement un vecteur d'attaque persistant — rappelons que la quasi-totalité des zero-days Android exploités en 2024-2025 concernaient des composants Qualcomm, selon les données de Google Project Zero.

La CISA américaine a publié une alerte le 3 juin 2026 signalant l'exploitation active de CVE-2025-48595, conjointement avec deux failles Linux également ajoutées au catalogue KEV (Known Exploited Vulnerabilities). Les agences fédérales civiles américaines (FCEB) ont jusqu'au 24 juin 2026 pour déployer les correctifs sur leurs flottes mobiles, une contrainte rarement imposée sur des parcs Android — signe de la gravité perçue.

Du côté des entreprises françaises, la principale difficulté reste la fragmentation du parc Android. Une étude de l'ANSSI publiée en mars 2026 estimait que dans les grandes organisations du CAC 40, le délai moyen entre la publication d'un correctif Android critique et son déploiement effectif sur l'ensemble de la flotte est de 47 jours — un chiffre alarmant quand l'exploitation active est confirmée dès le jour de publication du patch.

Le contexte d'exploitation suggère un acteur sophistiqué : les attaques « limitées et ciblées » décrites par Google correspondent souvent à des groupes APT ou des sociétés de surveillance commerciale (type NSO Group, Intellexa) qui achètent ou développent des chaînes d'exploitation pour cibler des journalistes, militants ou responsables gouvernementaux. L'integer overflow dans le framework Android constitue typiquement le maillon intermédiaire d'une chaîne exploit multi-étapes.

Impact et exposition

Tout appareil Android 14 ou supérieur non patché est théoriquement vulnérable. En pratique, l'exploitation actuelle semble ciblée, mais le risque d'élargissement augmente significativement après publication du bulletin de sécurité, qui fournit des indices suffisants pour reconstituer un PoC. Les environnements BYOD et les appareils personnels utilisés pour accéder aux ressources d'entreprise (email, VPN, MDM) constituent le périmètre prioritaire. Les appareils en fin de support constructeur sans patch disponible restent définitivement exposés.

Recommandations

• Immédiat : vérifier le niveau de patch de tous les appareils Android de la flotte via votre MDM (Intune, Jamf, VMware Workspace ONE) — filtrer les appareils antérieurs à 2026-06-05
• Activer la mise à jour automatique sur tous les appareils Pixel et Samsung Galaxy (One UI propose la mise à jour automatique différée de 7 jours — réduire ce délai)
• Prioriser les appareils accédant aux ressources sensibles : VPN, email d'entreprise, applications métier
• Inventorier les appareils en fin de support constructeur et planifier leur remplacement — aucun patch possible sur ces modèles
• Renforcer les politiques MDM pour bloquer l'accès aux ressources d'entreprise depuis les appareils dont le patch level dépasse 60 jours