La mise à jour de sécurité mensuelle d’Android est là, et à votre place, on n’attendrait pas trop longtemps avant de l’installer.
Comme tous les mois, Google vient de publier son bulletin de sécurité pour Android et de déployer les correctifs correspondants. Au programme de ce patch d’avril, 62 vulnérabilités ont été corrigées, dont deux activement exploitées dans des attaques ciblées. Si vous n’avez pas encore vérifié l’état des mises à jour de votre appareil, il serait peut-être temps d’y jeter un œil.
Deux failles zero-day déjà activement exploitées
Ces deux failles n’occupent pas les premières places du bulletin par hasard. CVE-2024-53150 et CVE-2024-53197, toutes deux scorées CVSS 7.8, s’attaquaient au cœur du noyau Linux, plus précisément au sous-système USB. La première, de type out-of-bounds, permettait d’accéder à des fragments de mémoire sensibles utilisés par d’autres processus. Seule, elle ne suffisait pas à compromettre l’appareil, mais elle pouvait exposer des données internes - identifiants, clés de session, morceaux de texte - à un acteur malveillant déjà positionné sur le système. La seconde permettait d’obtenir des privilèges système sans en avoir les autorisations.
Utilisées ensemble, ces deux failles pouvaient être enchaînées dans une attaque plus complexe : les données exposées par la première pouvaient faciliter l’exploitation de la seconde, jusqu’à permettre une prise de contrôle complète du système.
Officiellement, Google concède que les deux failles ont été exploitées de manière « limitée et ciblée ». Aucune précision sur les auteurs ou les cibles n’a été apportée, mais ce genre de terminologie renvoie généralement à des opérations de surveillance politique, voire de cyber-espionnage.
On rappellera ainsi que, selon Amnesty International, CVE-2024-53197 faisait partie d’un exploit en trois temps, utilisé pour espionner un militant serbe en décembre 2024. Elle aurait été combinée à CVE-2024-53104 et CVE-2024-50302 pour contourner les protections d’Android et accéder à ses données. Ces deux dernières failles avaient déjà été corrigées, respectivement en février et mars derniers, par Google qui, avec cette mise à jour d’avril, neutralise donc le dernier maillon de la chaîne d’attaque.
Une mise à jour indispensable, même sans être militant
Évidemment, ce n’est pas parce que vous n’êtes pas militant ou journaliste d’investigation que vous pouvez ignorer cette mise à jour. En tout, 62 failles de sécurité ont été corrigées ce mois-ci sur Android, dont plusieurs classées comme critiques.
La plus sérieuse, selon Google, concerne le composant System. Référencée CVE-2025-26416, cette vulnérabilité critique permettrait une élévation de privilèges à distance, sans interaction de l’utilisateur ni privilèges d'exécution supplémentaires requis.
Comme souvent sur Android, l’application des correctifs dépend des fabricants. Google publie les patchs, mais ce sont Samsung, Xiaomi, Oppo et les autres qui décident du calendrier de déploiement. Deux niveaux de patchs sont prévus ce mois-ci : 1er avril 2025 pour les failles déjà exploitées (dont CVE-2024-53197), et 5 avril 2025 pour les autres. Pour vérifier si votre appareil est à jour, rendez-vous dans les paramètres système d’Android.
Certains correctifs peuvent également être diffusés via le système de mise à jour Google Play, à condition d’utiliser Android 10 ou une version ultérieure. Ces mises à jour couvrent un nombre limité de composants, mais permettent de bénéficier rapidement de protections partielles, même avant la mise à disposition d’un correctif complet par le constructeur.
Enfin, pour les personnes qui installent des applications hors du Play Store, Google recommande d’activer Play Protect, un dispositif de sécurité capable de repérer des comportements malveillants et d’alerter en cas de danger.
Sources : Google, The Hacker News
