La mise à jour de sécurité Android de Google de juin 2026 devrait faire beaucoup le 1er juin. Il corrige 124 vulnérabilités sur Android 14, 15, 16, 16 QPR2, dont une est activement utilisée dans la nature. La plupart des utilisateurs non-Pixel ne l’ont pas encore reçu. Voici ce qu’il contient, pourquoi c’est important et comment savoir si votre téléphone est protégé.
Qu’est-ce qui est réellement édité
124 vulnérabilités, dont une déjà attaquée
Il est bien sûr très vulnérable aux composants Framework, System, Kernel et chipset tiers de Qualcomm et Broadcom. 18 d’entre eux sont classés Critique selon Google Bulletin de sécurité Android de juin 2026.
Le plus important c’est de prendre soin de soi CVE-2025-48595Un dépassement d’entier hautement critique dans le framework Android avec un score CVSS de 8,4 (échelle de gravité de 0 à 10 où 9,0+ est critique). Dans un bulletin, Google a confirmé que CVE-2025-48595 “indique que CVE-2025-48595 peut être soumis à un exploit limité et ciblé”, expression standard utilisée lorsqu’une personne exploite activement une vulnérabilité contre de vrais appareils.
Le bogue est lié à la façon dont Android Framework effectue des opérations arithmétiques sans vérification appropriée des limites. Un attaquant local crée une entrée qui dépasse une valeur entière, qui s’avère être un nombre étonnamment bas. Il utilise ensuite la valeur incorrecte comme taille de tampon ou index de mémoire, ce qui crée un chemin pour l’exécution de code à un niveau de privilège plus élevé. Une application malveillante disposant d’autorisations de base peut utiliser cet exploit pour prendre le contrôle total d’un appareil sans nécessiter aucune action ni autorisation supplémentaire de la part de l’utilisateur. Le mécanisme de transmission le plus probable est un programme de type cheval de Troie que vous installez vous-même.
Une autre vulnérabilité, CVE-2026-0059, est un débordement de tas Bluetooth de haute gravité dans le composant système qui peut exécuter du code sur des appareils à proximité sans intervention de l’utilisateur. Un attaquant doit être à portée Bluetooth, mais cela peut être utilisé en combinaison avec ce qui précède : approchez-vous, installez furtivement une application, puis augmentez les privilèges pour causer des dommages.
Qui est protégé en ce moment ?
Les appareils Pixel l’ont compris en premier ; tout le monde attend
La mise à jour de votre téléphone Android est simple, mais le fait que vous disposiez ou non de la mise à jour de sécurité de juin dépend de votre matériel. Google informe ses partenaires matériels Android des vulnérabilités au moins un mois avant de publier un bulletin. Samsung, OnePlus, Motorola et Xiaomi n’en ont donc pas encore envoyé, mais ils se sont déjà préparés.
Les appareils Pixel ont commencé à recevoir le micrologiciel de juin 2026 lors de leur lancement, mais pour tous les autres appareils Android, le calendrier dépend du fabricant. Comme pour la plupart des mises à jour Android, le déploiement dépend du modèle et de l’âge de votre téléphone. Alors que le Galaxy S25 actuel peut obtenir une solution en quelques jours, un téléphone de milieu de gamme d’il y a deux ans peut prendre des semaines, voire pas du tout, selon la fenêtre d’assistance.
Et n’oubliez pas que la fenêtre de mise à jour peut souvent être déterminé par le fabricant du chipsetpas un fabricant de téléphones. Le silicium plus ancien est de courte durée, quelles que soient les promesses du constructeur OEM.
Autre point d’inquiétude : si vous utilisez la bêta d’Android 17 CinnamonBun sur votre Pixel comme moi, vous êtes peut-être sur le patch de mai. La version bêta 4.1, publiée le 1er juin, était accompagnée du correctif de sécurité de mai au lieu de celui de juin. Vous n’aurez pas à attendre longtemps puisque les nouveaux correctifs arriveront avec Android 17 stable entre le 10 juin.
Certains des correctifs de juin sont fournis avec le Project Mainline de Google. Il peut donc s’agir d’une solution partielle, qui fournit des mises à jour de composants à partir du Play Store sans mise à jour complète du micrologiciel OEM. Mainline se trouve automatiquement en arrière-plan, donc même si votre ligne de niveau de correctif n’a pas changé, votre appareil peut être en mesure de protéger certaines vulnérabilités.
Comment vérifier et que rechercher
Que signifient les paramètres, les niveaux de réparation et les chiffres ?
Pour vérifier le niveau de votre correctif de sécurité, accédez à : Paramètres > À propos du téléphone > Version Android sur la plupart des appareils. C’est comme ça sur le Pixel Paramètres > Sécurité et confidentialité > Système et mises à jour. Vous voulez voir le 01/06/2026 ou le 05/06/2026 ; Ce dernier inclut tous les correctifs de juin et des correctifs supplémentaires pour les sous-composants du noyau et les pilotes du chipset.
Pour rechercher manuellement les mises à jour logicielles sur votre Pixel : Paramètres > Système > Mise à jour logicielle > Mise à jour du système > Rechercher les mises à jour. Sur Samsung : Paramètres > Mises à jour du système > Rechercher les mises à jour du système. OnePlus : Paramètres > Système et mise à jour > Mise à jour du système.
Les composants principaux sont mis à jour via un canal différent, vous pouvez donc vérifier les mises à jour de votre système Google Play séparément. Trouvez-le ci-dessous Paramètres > Sécurité et confidentialité > Système et mise à jour > Mise à jour du système Google Play.
Bien que l’utilisation prévue soit limitée, cela vaut toujours la peine d’obtenir la mise à jour
L’utilisation active du CVE-2025-48595 est limitée et qualifiée de ciblée, ce qui signifie historiquement des cibles de grande valeur : journalistes, dissidents, responsables et cadres. Le même langage est apparu dans des bulletins d’information antérieurs liés à des campagnes de renseignement commercial telles que Heliconia, Predator et Hermit.
Si vous n’êtes pas sous les projecteurs, votre risque est faible. Mais les bogues d’élévation de privilèges ne fonctionnent pas de manière isolée. Le bulletin de juin corrige un bug d’exécution de code à distance dans Media Framework. Un attaquant utilisant l’un ou l’autre pourrait le lier à CVE-2025-48595, une combinaison plus dangereuse pour un public plus large.
Si vous êtes propriétaire d’un Pixel et n’avez pas exécuté la version bêta, vous pouvez obtenir le correctif gratuitement dès maintenant. Pour tous les autres, vérifiez le niveau de votre correctif, lancez une vérification manuelle des mises à jour et vérifiez les paramètres de votre correctif. Mise à jour du système Google Play Le moment où vous attendez est maintenant.