Depuis plus de dix ans, les bulletins mensuels de sécurité d’Android rythmaient la protection des utilisateurs contre les failles critiques. Mais à l’été 2025, Google a profondément remanié sa stratégie, confirme Android Authority. Avec son nouveau « système de mise à jour basé sur le risque », seuls les correctifs jugés urgents continueront d’être publiés chaque mois. La majorité des vulnérabilités seront désormais regroupées dans de grandes mises à jour trimestrielles, diffusées en mars, juin, septembre et décembre.
Google justifie ce choix par une volonté d’aider les constructeurs de smartphones à réagir plus vite aux menaces critiques, tout en allégeant la charge des mises à jour. Mais du côté de la communauté open source, les critiques sont vives. Pour OSNews, cette décision « nuit significativement à la sécurité d’Android » en allongeant de fait la période durant laquelle des failles connues peuvent être exploitées.
Le projet GrapheneOS, l’une des ROMs alternatives les plus réputées pour son niveau de sécurité, dénonce une faille de logique : les fabricants disposent désormais de trois à quatre mois de préavis avant publication, contre un seul auparavant. Résultat, les détails des vulnérabilités circulent plus longtemps, augmentant mécaniquement le risque de fuites et d’exploitation par des acteurs malveillants. « Les correctifs sont artificiellement retardés au-delà du temps nécessaire pour les corriger », alerte l’équipe.
Ce changement affecte aussi directement les projets open source comme LineageOS ou GrapheneOS eux-mêmes. Google ne publie plus le code source des correctifs mensuels dans l’Android Open Source Project (AOSP). Concrètement, ces distributions ne pourront fournir des mises à jour de sécurité régulières qu’en contournant les embargos, au risque de s’exposer à des problèmes juridiques.
Pour les utilisateurs finaux, l’impact varie selon le constructeur. Les marques qui assurent déjà un suivi rigoureux, comme Samsung, continueront de déployer des mises à jour mensuelles. Pour beaucoup de modèles d’entrée et de milieu de gamme, le passage à un rythme trimestriel risque de créer un faux sentiment de sécurité : les appareils sembleront protégés alors que des failles connues resteront exploitables pendant des mois.
