Ce que Google vient de corriger (et pourquoi c’est urgent)

Début décembre 2025, Google a publié son Android Security Bulletin de décembre 2025, un paquet de correctifs qui vise les appareils sous Android 13, 14, 15 et 16. Le point le plus important : Google indique que deux vulnérabilités (CVE-2025-48633 et CVE-2025-48572) ont des signes d’exploitation “limitée et ciblée” — autrement dit, elles ont déjà été utilisées dans des attaques réelles, même si ce n’est pas forcément “massif” et grand public.

En plus de ces deux failles, le bulletin corrige une vulnérabilité critique dans le composant Framework (CVE-2025-48631) pouvant mener à un déni de service à distance (DoS), donc à des blocages/plantages sérieux, sans privilèges supplémentaires nécessaires.

Les 3 CVE à retenir (explication simple)

1) CVE-2025-48633 — Fuite d’informations (Information Disclosure)

Cette faille est classée ID (Information Disclosure) – High, et touche Android 13 à 16. Android Open Source Project+1
En clair : un attaquant peut, dans certaines conditions, accéder à des informations qu’il ne devrait pas voir (données système, infos sensibles, etc.). C’est souvent une étape clé dans une attaque plus large (ex. combiner “fuite d’infos” + “élévation de privilèges”).

2) CVE-2025-48572 — Élévation de privilèges (Elevation of Privilege)

Classée EoP – High, elle touche aussi Android 13 à 16. Android Open Source Project+1
Une “EoP” signifie qu’un attaquant peut obtenir plus de droits que prévu. Ce type de faille peut permettre de contourner certaines protections (sans forcément “pirater tout le téléphone” à elle seule), surtout si elle est combinée à d’autres vecteurs.

3) CVE-2025-48631 — Déni de service à distance (DoS) critique

Classée DoS – Critical, elle concerne Android 13 à 16. Android Open Source Project+1
Un DoS vise à rendre l’appareil ou un service instable/inutilisable (plantages, redémarrages, blocages). Même sans vol de données, c’est grave car cela impacte directement la disponibilité et la fiabilité du téléphone.

Patch level : 2025-12-01 vs 2025-12-05 (important)

Le bulletin de Google contient deux niveaux de patch :

• 2025-12-01 : couvre une première série de correctifs “communs”.
• 2025-12-05 : couvre tout, incluant les correctifs additionnels. Android Open Source Project

Pour être tranquille vis-à-vis de l’ensemble des failles listées, l’objectif est d’avoir un niveau de correctif Android = 2025-12-05 (ou plus récent). Malwarebytes+1

Pourquoi la mise à jour peut arriver plus tard chez Samsung/Xiaomi/Oppo…

Beaucoup d’utilisateurs se demandent : “Pourquoi mon ami sur Pixel a déjà le patch, et moi non ?” La réponse tient à la chaîne Android :

1. Google corrige le cœur Android (AOSP) + publie le bulletin.
2. Les constructeurs (Samsung, Xiaomi, Oppo…) adaptent ces correctifs à leur interface (One UI, HyperOS, ColorOS…).
3. Surtout : ils doivent intégrer des correctifs liés aux composants matériels (chipset, modem, GPU, drivers), qui varient selon le téléphone.

Et c’est là que le processeur / SoC (Snapdragon, Dimensity, Exynos, Tensor…) compte énormément.

Focus processeur : quel lien entre SoC et failles de sécurité Android ?

Quand on parle “processeur” sur smartphone, on parle en réalité du SoC (System-on-Chip) : CPU + GPU + modem + coprocesseurs (IA/NPU, DSP), contrôleurs mémoire, etc.

1) Le Framework Android, c’est “au-dessus” du processeur… mais ça reste critique

Les deux failles “déjà exploitées” pointées par Google sont dans la couche Android Framework. Android Open Source Project+1
Le Framework, c’est l’ensemble des API et services système qui font tourner les applications (permissions, services, interactions entre apps et système). Même si ce n’est pas “un bug du CPU”, une faille dans cette couche peut :

• exposer des données,
• faciliter l’élévation de privilèges,
• affaiblir l’isolation entre applications.

2) Les patchs touchent aussi des composants proches du SoC (kernel, drivers, modem, GPU)

Le bulletin ne se limite pas au “système Android” : il liste aussi des vulnérabilités côté composants fabricants (ex. Qualcomm, MediaTek, Unisoc, GPU PowerVR/Imagination, etc.). Android Open Source Project
Pourquoi c’est lié au processeur ? Parce que ces éléments sont directement intégrés au SoC ou à ses pilotes (drivers). Résultat :

• un même correctif logiciel n’est pas forcément “plug & play” sur tous les chipsets,
• certains patchs dépendent de binaires et pilotes propriétaires que chaque constructeur doit valider.

3) Snapdragon vs Dimensity vs Exynos vs Tensor : impact sur la vitesse des correctifs

Sans entrer dans des jugements de marque, il y a une réalité technique :

• chaque famille de SoC a ses pilotes, son modem, parfois son GPU (Adreno, Mali, Xclipse, etc.),
• donc le correctif final côté constructeur dépend du bundle chipset et des validations.

C’est pour cela que les Pixel reçoivent souvent plus vite : Google contrôle à la fois Android et l’intégration sur ses modèles. Android Open Source Project+1

4) Les protections matérielles aident… mais ne remplacent jamais un patch

Les CPU ARM modernes (et donc la plupart des SoC) intègrent des mécanismes de sécurité (isolation, exécution protégée, etc.). C’est utile, mais :

• une faille Framework/EoP peut quand même contourner des barrières si elle n’est pas corrigée,
• la meilleure défense reste : patch de sécurité à jour + Play Protect + hygiène applicative.

Comment vérifier et installer le correctif (sans prise de tête)

Objectif : atteindre “Niveau du correctif de sécurité Android : 5 décembre 2025” (ou plus récent). Android Open Source Project+1

1. Paramètres → À propos du téléphone
2. Version Android / Mise à jour de sécurité (les menus varient selon la marque) Malwarebytes
3. Lance Rechercher les mises à jour

Bonnes pratiques :

• Wi-Fi recommandé (patch parfois lourd),
• batterie suffisamment chargée,
• redémarrer après installation.

Conseils sécurité immédiats (en attendant la mise à jour constructeur)

• Évite l’installation d’APK hors Play Store si tu n’en as pas besoin.
• Laisse Google Play Protect activé (c’est un filet de sécurité important). Android Open Source Project
• Mets aussi à jour les apps critiques (navigateur, messagerie), car beaucoup d’attaques passent par des apps non à jour.

FAQ

Est-ce que ces failles touchent Android 12 ou moins ?
Le bulletin met surtout l’accent sur Android 13 à 16 pour cette série de correctifs et les CVE mentionnées. Android Open Source Project+1

Dois-je paniquer si je n’ai pas encore la mise à jour ?
Non, mais il faut la chercher régulièrement et l’installer dès qu’elle est disponible, surtout vu l’exploitation “ciblée” signalée par Google. Android Open Source Project

Pourquoi “2025-12-05” est plus important que “2025-12-01” ?
Parce que 2025-12-05 inclut l’ensemble des correctifs listés pour décembre, y compris ceux additionnels. Android Open Source Project+1

Conclusion

Le correctif de sécurité Android décembre 2025 est à installer en priorité : il corrige 107 failles, dont deux déjà exploitées (CVE-2025-48633 et CVE-2025-48572) et une faille critique DoS (CVE-2025-48631). Android Open Source Project+2Android Open Source Project+2
Si tu gères un site tech, insiste dans ton article sur deux messages forts : mettre à jour dès que possible et vérifier le patch level 2025-12-05.