Google a publié son bulletin de sécurité Android de juin 2026 et y colmate 124 vulnérabilités d’un coup, dont une faille déjà exploitée par des attaquants. Le chiffre impressionne, mais c’est une brèche unique qui retient l’attention des chercheurs.
CVE-2025-48595 porte ce nom austère et un pouvoir de nuisance bien réel. Cette faille d’élévation de privilèges loge dans le composant Framework, le cœur même du système, et permet à un utilisateur local non authentifié de déclencher un dépassement d’entier pour exécuter du code arbitraire. Traduction concrète, un acquéreur de contrôle total sur l’appareil, capable de lire des données sensibles, de modifier des fichiers et de paralyser le système. Google a confirmé son exploitation « limitée et ciblée » sans jamais quantifier ces deux adjectifs prudents.
Qui se cache derrière ces attaques ? Mystère. La firme de Mountain View n’a révélé ni l’identité du découvreur, ni le profil des assaillants, ni la mécanique précise de l’exploit. Éditeurs de logiciels espions commerciaux, groupes cybercriminels ou acteurs étatiques… le silence de Google laisse toutes les hypothèses ouvertes. Une chose demeure établie, « aucune interaction de l’utilisateur n’est nécessaire pour l’exploitation », précise l’entreprise dans son bulletin. La victime n’a rien à cliquer pour tomber.
CVE-2025-65018 trône au sommet de la liste des correctifs par sa gravité. Cette vulnérabilité critique, elle aussi nichée dans le Framework, autorise une élévation de privilèges à distance sans privilège d’exécution supplémentaire. Le composant System reçoit pour sa part quatre rustines critiques (CVE-2026-0043, CVE-2026-0097, CVE-2026-21352 et CVE-2026-21353), chacune ouvrant la voie à une escalade locale des droits.
Les fondeurs de puces ne sont pas épargnés par ce grand nettoyage. Google a intégré des correctifs venus de Qualcomm, MediaTek, Imagination Technologies et Unisoc, dont trois failles critiques dans les composants propriétaires de Qualcomm. La faille touche un noyau d’appareils répandus, ceux qui font tourner Android 14, 15, 16 et la version 16 QPR2.
Le diable se niche dans le calendrier de déploiement. Les Pixel maison reçoivent les correctifs immédiatement, tandis que Samsung, Motorola, Xiaomi, OnePlus et consorts devront adapter ces mises à jour à leurs propres surcouches avant de les diffuser. Deux niveaux de correctif coexistent, le 2026-06-01 et le 2026-06-05, ce dernier englobant l’intégralité des réparations du mois.
Reste un geste élémentaire que nul ne peut déléguer. Pour vérifier sa protection, l’utilisateur ouvre les paramètres, rubrique « À propos du téléphone », puis « version Android ». Tant que le niveau 2026-06-05 ne s’affiche pas, la porte demeure entrebâillée.
