Android : La 4ème vulnérabilité zero-day corrigée en six mois

Début juin 2026, Google a publié sa mise à jour de sécurité mensuelle pour Android. Au total, 124 vulnérabilités corrigées, dont une zero-day déjà exploitée avant même la diffusion du correctif. La quatrième en six mois.

Une vulnérabilité zero-day au cœur du Framework Android

Parmi les 124 failles corrigées, une retient l'attention car elle était déjà exploitée au moment du patch. Référencée CVE-2025-48595, elle se situe dans l'Android Framework, la couche de services système avec laquelle les applications interagissent directement. Notée 8.4 sur l'échelle CVSS, elle repose sur un débordement d'entier qui permet à un attaquant local d'élever ses privilèges jusqu'au niveau système, sans aucune action de l'utilisateur. Les versions Android 14, 15, 16 et 16 QPR2 sont concernées, soit la grande majorité des terminaux en circulation.

Une faille d'élévation de privilèges n'ouvre pas seule l'accès à un appareil, elle constitue un maillon dans une chaîne d'attaque : un cybercriminel a d'abord besoin d'un point d'entrée, souvent une application malveillante ou une autre vulnérabilité dans le navigateur ou la messagerie. La faille lui sert ensuite à franchir les restrictions de l'application et à atteindre les privilèges système. À partir de là, le reste du terminal devient accessible.

La criticité de cette vulnérabilité a été confirmée au-delà de Google. Dès le 2 juin, l'agence américaine CISA avait déjà inscrit la faille à son catalogue des failles activement exploitées, imposant aux agences fédérales un délai de remédiation de trois jours seulement.

Quatre failles zero-day en six mois 

Le cas de juin n'est pas isolé. En septembre 2025 déjà, deux zero-day Android étaient exploitées au moment du correctif. Depuis, le rythme ne faiblit pas. Deux nouvelles failles exploitées en décembre 2025, une en mars 2026 dans le composant graphique des puces Qualcomm, puis celle de juin. Soit quatre zero-day Android activement exploitées corrigées en six mois.

Et la tendance ne se limite pas à Android. Dans son bilan 2025, le Google Threat Intelligence Group a recensé 15 zero-day mobiles exploitées en conditions réelles, tous terminaux confondus, contre 9 en 2024. L'exploitation de vulnérabilités mobiles avant correctif s'est imposée comme une composante durable du paysage de menaces, et non une alerte ponctuelle.

Les flottes mobiles d'entreprise en première ligne

Une fois le terminal compromis par ce type de failles, tout ce qu'il héberge tombe entre les mains de l'attaquant. Sur un téléphone professionnel, cela représente les messageries, les applications métiers et les documents sensibles de l'entreprise. La compromission d'un seul appareil, en particulier celui d'un dirigeant ou d'un collaborateur exposé, ouvre une porte directe sur les données de l'organisation.

Deux facteurs aggravent la situation. La fragmentation d'Android, d'abord : en dehors des appareils Pixel, le bulletin mensuel met souvent plusieurs semaines à atteindre les terminaux, voire davantage. La fenêtre durant laquelle la faille est publique mais non corrigée reste donc ouverte sur une large partie du parc. Le BYOD ensuite, qui voit de nombreux collaborateurs travailler depuis leur téléphone personnel, sans garantie de mise à jour.

En mars 2026 notamment, le délai entre le signalement du zero-day Qualcomm et la publication de son correctif avait atteint deux mois et demi, alors que la faille était déjà exploitée.

La mise à jour ne suffit plus 

Installer le patch de juin est indispensable, mais ne suffit pas toujours à sécuriser les données d'entreprise sur mobile. Compte tenu de ces délais de déploiement et des zero-day exploitées avant même la diffusion d'un correctif, attendre la mise à jour ne peut pas rester l'unique ligne de défense.

La solution Pradeo Mobile Threat Defense détecte et neutralise les menaces en temps réel, sur l'ensemble des vecteurs, qu'il s'agisse du système d'exploitation, des applications ou du réseau. Elle protège ainsi les utilisateurs et leurs terminaux, y compris ceux qui ne sont pas à jour ou qui ne recevront jamais de correctif, tout en donnant aux équipes sécurité une visibilité sur l'état de chaque terminal. Les données de l'entreprise restent sécurisées, y compris en environnement BYOD.