Google vient de publier son bulletin de sécurité mensuel pour Android. Au programme de la mise à jour de mai : 45 failles corrigées dans le système, dont une déjà exploitée en conditions réelles.
Android : Google corrige une faille zero-click critique exploitée depuis des mois. Mettez votre smartphone à jour ! © Primakov / Shutterstock
Pas besoin de télécharger quoi que ce soit, ni même de toucher votre écran. Depuis des années, une faille de sécurité dans Android (CVE-2025-27363) permettait à des attaquants d’exécuter du code malveillant sur certains smartphones, sans aucune action requise de la part des personnes ciblées. Découverte dans FreeType, le composant chargé d’interpréter les polices TrueType – utilisé aussi bien pour afficher des caractères à l’écran que pour ajouter du texte à des images –, la vulnérabilité concernerait des millions d’appareils en circulation, et serait activement exploitée.L'info en 3 points
Google corrige 45 failles Android, dont une critique exploitée sans interaction de l'utilisateur depuis des mois.
FreeType est au cœur de la vulnérabilité CVE-2025-27363, corrigée tardivement par un patch en mai 2025.
Certains appareils anciens risquent de ne pas recevoir le patch, rendant essentielle l'alternative des ROMs comme LineageOS.
Un patch disponible depuis 2023, toujours pas appliqué
Comme chaque mois, le patch de sécurité Android arrive avec son lot de correctifs. Ce mois-ci, 45 vulnérabilités ont été corrigées, dans des composants comme le Framework Android, le noyau Linux ou encore les puces Qualcomm et MediaTek. La plupart sont classées « élevées », notamment des bugs d’élévation de privilèges – autrement dit, des failles qui permettent à une application malveillante de s’octroyer des droits normalement inaccessibles.
Mais c’est bien CVE-2025-27363 qui attire particulièrement l’attention, et pas pour de bonnes raisons. Elle permet une exécution de code sans interaction utilisateur – ce qu’on appelle une faille zero-click – en exploitant un fichier de police TrueType malveillant.
Dans le détail, le problème résulte d’une erreur de gestion mémoire : une mauvaise conversion de données provoque l’allocation d’un espace trop petit en mémoire, dans lequel le système vient ensuite écrire… en débordant. Et quand on peut écrire là où on ne devrait pas, on peut souvent exécuter ce qu’on veut.
Dans ce cas précis, la faille concerne toutes les versions de FreeType jusqu’à la 2.13.0, encore utilisée par Android dans certains composants système. Le bug était donc présent depuis au moins février 2023, date à laquelle une nouvelle version de FreeType (2.13.1) corrigeait le problème sans que personne n’en ait encore identifié l’impact en matière de sécurité. Il aura fallu attendre que Facebook mette le doigt dessus en mars dernier. D’où l’importance de cette dernière mise à jour de sécurité.
On pourrait aussi et surtout reprocher à Google de s’être contentée, pendant deux ans, d’une version non à jour de FreeType. Mais il faut savoir que, comme souvent, les updates de bibliothèques tierces ne sont pas automatiquement appliquées à toutes les versions d’Android – et qu’aujourd’hui, Android 15 cohabite toujours avec les versions 14 et 13. Chaque type d’intégration doit être testé, validé, puis intégré à l’OS par Google ou par les constructeurs, en fonction de qui gère la version installée sur l’appareil. Or, avec des dizaines de fabricants et des centaines de modèles à maintenir, les délais s’allongent vite, et certains appareils passent nécessairement à travers.
Pour patcher cette vieille faille de deux ans, mettez rapidement à jour votre smartphone Android 13, 14 et 15. © Below the Sky / Shutterstock Un correctif, oui… mais pas pour tout le monde
Sur le papier, la faille est donc désormais corrigée. Le patch a été intégré à la mise à jour de sécurité Android du 5 mai 2025, disponible pour les versions 13, 14 et 15 du système. Dommage pour Android 12 déclaré obsolète… six semaines plus tôt.
Gardez aussi en tête que pour les versions encore officiellement prises en charge, rien n’est joué non plus. Google publie les correctifs, mais ce sont les constructeurs qui doivent les adapter à chaque modèle, les tester, puis les déployer. Une étape qui peut prendre du temps… ou ne jamais arriver.
Dans tous les cas, pour vérifier si votre appareil est éligible, rendez-vous dans les Paramètres > Système > Mises à jour > Mise à jour logicielles > Mise à jour du système > Rechercher les mises à jour. À noter que le patch est déployé par vagues, et qu’il est possible que vous ayez à patienter encore quelques jours avant d’y avoir droit.
Si vous utilisez un appareil plus ancien, vous pouvez envisager des alternatives. Certaines distributions Android, comme LineageOS, continuent de proposer des mises à jour de sécurité sur des modèles que les fabricants ne prennent plus en charge. La couverture n’est pas toujours complète – notamment pour les composants propriétaires comme les puces – mais elle reste l’un des moyens les plus fiables de prolonger la durée de vie d’un smartphone tout en conservant un minimum de sécurité. Il ne s'agit pas non plus d'une solution très grand public, mais pour celles et ceux à l’aise avec ce type de manipulation, elle vaut clairement le détour.
Autrement, il vous faudra composer avec le risque de sécurité que représente un OS obsolète… ou changer de smartphone.
merci à CLUBIC
