Plus tôt ce mois-ci, Google a publié une mise à jour de sécurité pour sa gamme de smartphones Pixel, corrigeant 45 vulnérabilités dans Android. Les mises à jour de sécurité ne sont pas aussi spectaculaires que les Feature Drops, et les utilisateurs pourraient ne pas se sentir aussi motivés à mettre à jour leurs Pixels immédiatement. Cependant, cette mise à jour est celle que vous devez installer dès que possible.
Il s’avère que parmi ces 45 vulnérabilités corrigées, il y en a une particulièrement dangereuse. La faille est suivie sous le nom CVE-2024-32896, et il s’agit d’une vulnérabilité d’escalade de privilèges. Ces failles peuvent permettre à des acteurs malveillants d’accéder à des fonctions système auxquelles ils n’auraient normalement pas accès, ce qui ouvre la porte à des attaques dangereuses. Bien que la plupart de ces failles soient généralement détectées avant que des acteurs malveillants n’apprennent à les exploiter, la situation avec CVE-2024-32896 n’est pas si chanceuse : Dans les notes de sécurité de cette mise à jour, Google déclare, “Il y a des indications que CVE-2024-32896 pourrait être en cours d’exploitation ciblée limitée.”
Cela rend cette vulnérabilité un exemple d’un problème “zero-day” — une faille que des acteurs malveillants savent comment exploiter avant qu’un correctif ne soit mis à la disposition du grand public. Chaque Pixel qui n’installe pas ce correctif reste vulnérable à des utilisateurs malveillants qui sont au courant de ce problème et souhaitent l’exploiter.
Google n’a pas divulgué d’informations supplémentaires sur CVE-2024-32896, donc nous ne savons pas grand-chose sur son fonctionnement — cela dit, il semble s’agir d’une vulnérabilité particulièrement nuisible. En fait, Forbes rapporte que le gouvernement des États-Unis a pris note de ce problème et a fixé une date limite au 4 juillet pour tout employé fédéral utilisant un Pixel : Mettez à jour votre téléphone ou “interrompez l’utilisation du produit.”
GrapheneOS, qui développe un système d’exploitation open source axé sur la confidentialité pour les smartphones, affirme que le correctif pour CVE-2024-32896 est en réalité la seconde moitié d’une correction plus large : En avril, Google a corrigé CVE-2024-29748, et selon GrapheneOS, les deux visaient à corriger des vulnérabilités que des entreprises d’analyse judiciaire exploitaient.
Ce Tweet est actuellement indisponible. Il pourrait être en cours de chargement ou a été supprimé.
Comment corriger votre Pixel
Pour installer ce correctif de sécurité sur votre Pixel, rendez-vous dans Paramètres > Système > Mise à jour du logiciel. Lorsque la mise à jour est disponible, vous pouvez suivre les instructions à l’écran pour l’installer. Alternativement, vous pouvez demander à Google Assistant de “Mettre à jour mon téléphone maintenant.”
