La mise à jour Android de juin de Google corrige une faille d'élévation de privilèges zero-click activement exploitée

Le bulletin de sécurité Android de juin 2026 de Google corrige CVE-2025-48595, une faille critique d'élévation de privilèges zero-click dans Android Framework que l'entreprise confirme être exploitée lors d'attaques ciblées. La Cybersecurity and Infrastructure Security Agency (CISA) américaine a ajouté la vulnérabilité à son catalogue de vulnérabilités exploitées connues (KEV), ce qui équivaut à une directive officielle « corrigez immédiatement » de la part des autorités fédérales de cybersécurité.

Zero-click signifie qu'aucune interaction de l'utilisateur n'est requise. Un attaquant n'a pas besoin d'inciter la victime à ouvrir un lien, installer une application ou accorder une autorisation. Combinée à l'élévation de privilèges — la capacité d'accéder au niveau système — cette classe de vulnérabilité est parmi les plus dangereuses en sécurité mobile. Le résultat pratique est qu'un appareil ciblé peut être compromis sans que son propriétaire n'effectue aucune action qui signalerait une attaque.

Ce qui est concerné

CVE-2025-48595 impacte les appareils fonctionnant sous Android 14, 15, 16 et 16 QPR2. Le bulletin de sécurité de juin 2026, publié le 1er juin et mis à jour le 3 juin, corrige 124 vulnérabilités au total dans les composants Framework, système et noyau d'Android. Le niveau de correctif de sécurité 2026-06-05 ou ultérieur résout tous les problèmes signalés dans ce bulletin.

Les utilisateurs peuvent vérifier leur niveau de correctif en se rendant dans Paramètres → À propos du téléphone → Version Android → Niveau du correctif de sécurité. Sur les appareils qui reçoivent les mises à jour de sécurité mensuelles d'Android directement de Google — les téléphones Pixel et certains flagships Samsung Galaxy — la mise à jour est en cours de déploiement. Les appareils d'autres fabricants peuvent prendre plusieurs semaines de plus selon les calendriers de mise à jour de leur opérateur et de leur OEM.

Ce que signifie l'inscription de la CISA dans le KEV

Le catalogue des vulnérabilités exploitées connues (KEV) de la CISA est une liste de correction obligatoire pour les agences fédérales américaines, avec des délais contraignants pour l'application des correctifs. Lorsque la CISA ajoute une vulnérabilité au catalogue KEV, cela signifie que l'agence a confirmé une exploitation réelle — et non un risque théorique — avec un niveau de confiance suffisamment élevé pour imposer des délais fédéraux de correction.

Pour les organisations civiles, l'inscription de la CISA dans le KEV constitue effectivement un avis prioritaire : cette vulnérabilité est activement armée. Le langage de divulgation de Google — « exploitation limitée et ciblée » — suggère qu'il ne s'agit pas encore d'une campagne d'exploitation massive, mais plutôt d'attaques probablement liées à des opérateurs de logiciels espions commerciaux ou à des acteurs étatiques qui acquièrent ou découvrent régulièrement des exploits mobiles zero-click pour une surveillance ciblée.

Pas de contournement : la mise à jour est la seule solution

Aucun changement de configuration ni atténuation côté utilisateur ne permet de fermer cette vulnérabilité. Le composant Android Framework où réside la faille ne peut être isolé ou désactivé sans casser les fonctionnalités système de base. La seule protection consiste à appliquer le correctif de sécurité de juin 2026.

Les utilisateurs qui ne peuvent pas mettre à jour immédiatement — parce que leur fabricant d'appareil n'a pas encore livré le correctif — doivent être conscients qu'il s'agit d'un scénario d'exploitation active, et non d'un risque théorique futur. Les personnes qui sont des cibles de surveillance de grande valeur (journalistes, cadres, militants, responsables gouvernementaux) courent le plus grand risque face à cette classe d'exploit zero-click ciblé, car ces attaques sont généralement coûteuses à déployer et sont dirigées plutôt qu'indiscriminées.

Le bulletin de juin corrige également CVE-2026-28577, une faille d'élévation de privilèges par tapjacking, et plusieurs autres problèmes de gravité élevée dans les composants du noyau et des médias. Tout appareil Android pouvant recevoir le correctif de juin 2026 devrait le faire dès qu'il est disponible auprès du fabricant.