Google a publié son bulletin de sécurité de décembre confirmant la correction du problème. Plus d'une centaine de vulnérabilités dans AndroidCe correctif est particulièrement important car il corrige plusieurs failles critiques et deux vulnérabilités zero-day qui étaient déjà exploitées lors d'attaques ciblées. La mise à jour est déployée progressivement sur les appareils mobiles compatibles dans le monde entier, y compris ceux vendus en Espagne et dans le reste de l'Europe.
Au total, le bulletin comprend 107 failles de sécurité réparties dans le framework, le système d'exploitation, le noyau et composants tiers propriétairesBon nombre de ces correctifs sont déployés en deux niveaux, datés du 1er et du 5 décembre, que les fabricants intègrent à leurs propres couches de personnalisation avant de les mettre à la disposition des utilisateurs.
Plus de 100 vulnérabilités : ce que Google a corrigé
Le document technique de Google détaille que Les 107 vulnérabilités affectent différentes couches d'AndroidEn commençant par le framework lui-même (la base sur laquelle s'exécutent de nombreuses fonctions système et applications), en passant par le système, le noyau Linux, et en terminant par les composants tiers propriétaires intégrés dans de nombreux téléphones mobiles.
Ce forfait comprend les éléments suivants deux failles classées comme vulnérabilités zero-day, identifiées comme CVE-2025-48633 et CVE-2025-48572Les deux failles ont été qualifiées de critiques. L'entreprise reconnaît qu'elles étaient exploitées lors d'attaques limitées et très ciblées, un type d'attaque généralement associé à des campagnes de surveillance avancées ou à des cibles de grande valeur, plutôt qu'à des attaques de masse.
Google n'a pas fourni tous les détails techniques pour des raisons de sécurité, mais a précisé que La vulnérabilité CVE-2025-48633 permet la divulgation non autorisée d'informations.Autrement dit, cela facilite l'accès d'un attaquant à des données qui devraient rester protégées. De son côté, La vulnérabilité CVE-2025-48572 est liée à l'élévation de privilèges., un type de vulnérabilité qui peut donner à un attaquant plus de contrôle sur l'appareil qu'une application normale ne devrait en avoir.
Outre ces deux jours zéro, le bulletin comprend une vulnérabilité critique de déni de service (DoS), CVE-2025-48631, située dans le framework AndroidUne panne de ce type peut rendre le système non réactif, le bloquer ou le faire entrer dans des boucles de redémarrage, ce qui a un impact significatif sur la disponibilité et la stabilité du terminal.
Le rapport mentionne également quatre autres vulnérabilités critiques du noyau, enregistrées sous les références CVE-2025-48623, CVE-2025-48624, CVE-2025-48637 et CVE-2025-48638Tous ces problèmes sont liés à l'élévation de privilèges, ce qui est particulièrement grave car elle se produit au cœur du système d'exploitation et peut ouvrir la porte à des attaques profondes et difficiles à détecter.
Fabricants et composants concernés
Les correctifs ne se limitent pas au code développé directement par Google. Le bulletin précise que Certains des 107 défauts sont détectés dans des composants tiers non officiels., comme celles incluses par les fabricants de processeurs et de solutions de connectivité largement utilisées dans l'écosystème Android.
Plus précisément, les points suivants ont été résolus deux vulnérabilités dans les composants Arm, 17 pièces MediaTek, 11 défauts dans les composants Qualcomm y 13 vulnérabilités dans les puces UnisocCes fournisseurs proposent du matériel et des micrologiciels à une grande variété de marques de téléphones mobiles, de sorte que les correctifs affectent des appareils de gammes et de fabricants très différents.
Selon les informations disponibles, Les versions Android concernées vont d'Android 13 à Android 2013.Cela concerne un très grand nombre d'appareils mobiles actifs. Compte tenu de la part de marché de ces versions, ce sont des milliards d'appareils potentiellement vulnérables qui sont concernés si le correctif n'est pas appliqué.
Google structure les mises à jour en Deux niveaux de correctifs : 2025-12-01 et 2025-12-05La première mise à jour comprend généralement des correctifs système et d'infrastructure de base, tandis que la seconde ajoute des correctifs plus spécifiques au noyau et aux composants propres à chaque fournisseur. En pratique, l'utilisateur ne voit qu'une seule mise à jour, mais les fournisseurs peuvent intégrer ces niveaux par étapes pour accélérer le déploiement.
Impact sur les utilisateurs en Espagne et en Europe
Au quotidien, le principal risque pour les utilisateurs européens est que, si le téléphone n'est pas mis à jour avec le correctif de décembre, peut devenir la cible d'attaques très ciblées capables de voler des informations sensibles ou de prendre un contrôle plus profond de l'appareil.
Les défaillances dans la divulgation d'informations peuvent permettre à un attaquant d'accéder à données personnelles, identifiants, contenu d'application ou fragments de mémoire qui doit être protégée. Une faille d'élévation de privilèges peut, quant à elle, faciliter l'installation de logiciels malveillants disposant de permissions élevées, la désactivation des mesures de sécurité ou une surveillance plus subtile de l'appareil.
En Espagne et dans le reste de l'Union européenne, où l'utilisation de services bancaires mobilesLes soins de santé et l'administration électronique sont très répandus. Exploiter ces failles pourrait avoir un impact particulierUn téléphone compromis met en danger non seulement les photos ou les conversations personnelles, mais aussi les transactions financières, les relations avec les organismes publics ou l'authentification à deux facteurs.
Google souligne que ces failles zero-day ont été utilisées dans attaques « limitées et segmentées »Ce terme est généralement associé à des opérations de surveillance avancées plutôt qu'à des campagnes massives de logiciels malveillants. Des rapports sectoriels indiquent que des vulnérabilités similaires ont déjà été exploitées par des fournisseurs de logiciels espions tels que NSO Group, Candiru et Intellexa, spécialisés dans les outils d'interception sophistiqués.
Comment le correctif arrive sur les téléphones Android
Sur les téléphones Pixel, qui sont gérés directement par Google, Les mises à jour de sécurité arrivent généralement dans les premiers jours du mois.Dans le cas de l'Espagne, les utilisateurs de ces appareils reçoivent le correctif via OTA (mise à jour par voie hertzienne) sans avoir besoin d'effectuer de procédures supplémentaires, outre l'acceptation du téléchargement.
Quant aux autres fabricants présents en Europe, tels que Samsung, Xiaomi, OPPO, OnePlus, Motorola ou realme, Le calendrier de déploiement dépend de chaque marque et modèle.Les téléphones haut de gamme et les derniers téléphones de milieu de gamme sont généralement les premiers à recevoir les correctifs mensuels, tandis que les appareils plus anciens ou d'entrée de gamme peuvent prendre plusieurs semaines, voire ne plus être pris en charge s'ils ont atteint la fin de leur cycle de mise à jour.
Il est important de noter que de nombreux fabricants européens se regroupent. correctifs de sécurité et améliorations mineures du système en une seule mise à jour, afin que l'utilisateur puisse voir un seul package comprenant des modifications d'interface, des corrections de bugs mineurs et, en même temps, le niveau de correctif Android correspondant à décembre.
Ceux qui possèdent un téléphone qui n'est plus pris en charge — ce qui est fréquent après plusieurs années d'utilisation — se trouvent dans une situation plus précaire : l'appareil conserve ses fonctions, mais cesser de recevoir des solutions aux vulnérabilités de ce typeDans de tels cas, il est conseillé de prendre des précautions supplémentaires et d'envisager sérieusement de passer à un modèle qui continue de recevoir des correctifs.
Recommandations pour protéger votre téléphone portable
Au-delà de la zone d'influence de Google, Il existe un certain nombre de mesures de base, telles que la réalisation sauvegarderce qui peut atténuer l'impact de ces vulnérabilitésnotamment lorsque la mise à jour n'est pas encore disponible ou sur des appareils dont la prise en charge est limitée.
- Vérifier manuellement les mises à jour Dans le menu Paramètres > Système > Mise à jour du système (ou équivalent selon la version du fabricant), appliquez les correctifs de sécurité disponibles depuis décembre.
- Maintenez toutes les applications à jour. depuis Google Play, car certains fournisseurs distribuent des correctifs supplémentaires via Google Play Services et d'autres composants système.
- Évitez d'installer des fichiers APK depuis sources non vérifiéesCela réduit la probabilité d'introduire des logiciels malveillants qui tentent d'exploiter des vulnérabilités d'élévation de privilèges ou de fuite d'informations.
- Examiner les autorisations des applications déjà installéesUne attention particulière est portée à l'accès aux SMS, aux appels, aux contacts, au microphone, à la caméra, à la localisation et au stockage interne.
Sur les appareils qui ne reçoivent plus de correctifs officiels, il est recommandé limiter son utilisation aux opérations particulièrement sensiblescomme les services bancaires mobiles ou les transactions impliquant des données hautement confidentielles. Il peut également être utile d'utiliser des solutions de sécurité à la réputation éprouvée, toujours accompagnée d'une utilisation prudente de l'appareil.
La newsletter de Google de décembre reflète à quel point La sécurité sur Android est un processus continu et complexe.Cette vulnérabilité, qui comprenait des failles de gravité variable réparties dans le système, le noyau et des composants de plusieurs fabricants, a été corrigée. La correction de plus d'une centaine de vulnérabilités, dont deux exploits zero-day et plusieurs failles critiques, renforce la protection de millions d'appareils mobiles, mais souligne également l'importance d'installer les mises à jour dès leur disponibilité et d'adopter des pratiques d'utilisation responsables afin de limiter les risques d'attaques.
