Android : deux zero-days exploités, alerte sèche pour les RSSI

Jean Langlois-Berthelot

Google a publié début septembre une note de sécurité presque banale : 84 failles Android corrigées. Sauf que deux vulnérabilités étaient déjà exploitées. Cela rappelle que le mobile n'est pas un maillon annexe de la chaîne de sécurité.

Quand le mobile devient la porte d’entrée

Les deux failles visent le cœur du système : le noyau Linux et l’Android Runtime. En clair, un code malveillant pouvait s’extraire de sa sandbox et prendre des privilèges élevés. Une élévation de privilèges transforme un simple malware en cheval de Troie durable : canal de commande stable, siphonnage des messageries, récupération de jetons d’authentification, rebond vers le cloud de l’entreprise. On ne parle pas théorie. Dans beaucoup d’organisations, le smartphone est devenu l’ancrage de l’identité : MFA, accès à Microsoft 365 ou Google Workspace, messagerie interne, tout transite par lui. Un téléphone compromis, c’est un badge maître qui circule entre vies pro et perso.

Le talon d’Achille : la fragmentation

Un patch publié par Google n’arrive pas partout au même moment. Les Pixel reçoivent la correction quasi immédiatement. Des flottes Samsung, Xiaomi, OnePlus et d’autres attendront des semaines. Certaines n’auront jamais le correctif. Concrètement, au moment où l’alerte tombe, une partie du parc reste vulnérable sans horizon de remédiation fiable. Cette latence offre aux attaquants une fenêtre large, parfois confortable. La sécurité des données dépend alors du cycle industriel d’un constructeur qui n’a, souvent, ni les mêmes priorités ni la même cadence que l’entreprise cliente. Dépendance difficile à assumer, mais bien réelle.

Décision technique, enjeu stratégique

Mettre un MDM/UEM, suivre les niveaux de patch, isoler les appareils obsolètes : nécessaire, mais insuffisant si l’arbitrage stratégique n’évolue pas. Le smartphone n’est plus un périphérique secondaire. C’est un terminal critique qui concentre accès, identités, et signaux comportementaux. Il mérite la même gouvernance que les postes et les serveurs.

Traduction opérationnelle, tout de suite

Établir un niveau de patch minimal bloquant et l’appliquer côté IdP. Activer l’accès conditionnel par posture de l’appareil, pas seulement par identité. Séparer strictement les profils pro/perso et interdire le sideload dans le périmètre pro. Mettre en quarantaine les modèles sans garantie de mise à jour et prévoir une filière de remplacement. Compléter le MFA par des clés FIDO2 pour réduire l’impact d’un device compromis. Surveiller les signaux mobiles au même rang que l’EDR poste de travail. Et accepter un point impopulaire : dans certains contextes, le BYOD n’est pas compatible avec l’appétence au risque affichée.

Ce que rappellent les zero-days de septembre 2025

Le mobile n’est pas un maillon annexe de la chaîne de sécurité. Il en est le centre… donc la faiblesse, si la gouvernance n’est pas alignée. Tant que les flottes mobiles ne seront pas traitées au même niveau que le poste de travail, chaque bulletin de Google jouera le rôle d’un rappel à l’ordre. Douloureux, et prévisible.

Ces deux vulnérabilités exploitées ne sont pas un incident isolé. Elles incarnent une fragilité chronique : un écosystème fragmenté où les attaquants capitalisent sur la latence des correctifs. La réponse tient en un mot, peu glamour mais décisif : vitesse. Vitesse d’identification, de blocage, de mise à jour, et de décision. La vigilance mobile ne relève plus de l’intendance. C’est un impératif stratégique.

Par Jean Langlois-Berthelot et Christophe Gaie (Services du Premier Ministre)