Dans un tournant inhabituel pour l’écosystème Android, le bulletin de sécurité mensuel publié par Google le 6 octobre 2025 arrive les mains vides. Contrairement aux habitudes, il ne recense aucune vulnérabilité, aucun identifiant CVE ni aucune correction pour les composants essentiels comme le noyau, le framework ou les pilotes.
Cette absence totale de patches de sécurité marque la deuxième occurrence de ce genre depuis le lancement des bulletins mensuels, un événement qui intrigue les experts et les utilisateurs attentifs à la cybersécurité mobile.
Ce vide contraste avec le bulletin de septembre, qui avait listé plus d’une centaine de failles, dont deux critiques permettant une exécution de code à distance. Pour octobre, Google n’annonce aucune mise à jour spécifique pour les versions Android 13 à 16, laissant les appareils sans renforts immédiats contre les menaces potentielles. Les analystes soulignent que cette pause pourrait refléter une période de calme relatif sur le front des exploits connus, mais elle soulève aussi des questions sur la transparence des processus internes chez le géant de Mountain View.
Au cœur de cette anomalie se trouve l’évolution récente de la stratégie de Google vers une approche “basée sur les risques” pour les mises à jour de sécurité. Au lieu d’intégrer les correctifs mensuellement dans le projet open-source Android (AOSP), l’entreprise opte désormais pour un rythme trimestriel, en se concentrant sur les menaces les plus critiques. Cette réforme, annoncée il y a peu, vise à optimiser les ressources des fabricants et à accélérer les déploiements pour les vulnérabilités à haut impact, tout en évitant les mises à jour superflues.
Du côté des Google Pixel, l’attente est palpable : le bulletin dédié aux correctifs spécifiques à ces appareils n’a pas encore été diffusé, contrairement à l’usage habituel. Les propriétaires de Pixel peuvent toutefois s’attendre à une mise à jour de sécurité entre le 5 et le 12 octobre, axée sur des ajustements mineurs et des corrections de bugs, sans apport de nouvelles fonctionnalités avant le prochain “Pixel Drop” en décembre. Cette discrétion n’empêche pas Google de maintenir son engagement : les Pixel 8 et modèles ultérieurs bénéficient toujours de sept ans de support complet, incluant ces patches essentiels.
Pendant ce temps, les autres constructeurs ne chôment pas. Samsung, par exemple, a déployé son propre bulletin pour octobre, corrigeant 34 vulnérabilités cachées, dont 14 de gravité élevée, adaptées à ses Galaxy et autres appareils. Cette fragmentation des mises à jour rappelle la diversité de l’écosystème Android, où les OEM appliquent les directives Google à leur sauce, parfois avec des ajouts propriétaires pour pallier les silences du bulletin central.
Pour les utilisateurs, cette édition “fantôme” invite à la vigilance : activez les mises à jour automatiques via Google Play, vérifiez régulièrement les paramètres de sécurité, et optez pour des apps fiables pour minimiser les expositions. Bien que rassurante en surface ( signe d’un Android plus mature ), elle souligne l’importance d’une hygiène numérique proactive. Google promet de clarifier la donne dans les jours à venir, potentiellement avec un bulletin Pixel retardé, confirmant que la sécurité reste une priorité, même dans le calme apparent.
