Imaginez que votre médecin décide de ne plus vous prescrire tous vos médicaments en même temps, mais de vous donner d’abord les plus urgents pour sauver votre vie, et de regrouper les autres dans une ordonnance trimestrielle. C’est exactement ce que fait Google avec Android et son nouveau système RBUS (Risk-Based Update System). Une approche qui bouleverse dix années d’habitudes dans la sécurité mobile.
Un changement radical dans la philosophie de sécurité
Depuis 2015, Google publiait religieusement chaque mois un bulletin de sécurité Android, listant toutes les failles découvertes et corrigées. Un processus méticuleux mais parfois lourd, qui créait des difficultés pour les fabricants de smartphones. Résultat ? De nombreux appareils, surtout dans l’entrée et le milieu de gamme, restaient exposés faute de mises à jour régulières.
Avec RBUS, Google adopte une approche plus chirurgicale. Les correctifs mensuels ne concernent désormais que les vulnérabilités « à haut risque » – celles qui sont activement exploitées par des pirates ou qui font partie de chaînes d’exploitation connues. Les autres failles, moins critiques, sont regroupées dans des bulletins trimestriels plus complets.
Cette nouvelle stratégie explique pourquoi le bulletin de juillet 2025 ne comportait aucune faille corrigée – une première historique – tandis que celui de septembre en listait pas moins de 119. Google ne néglige pas la sécurité, il la réorganise pour plus d’efficacité.
Une réponse pragmatique à la fragmentation Android
Le défi d’Android a toujours été sa fragmentation. Avec des milliers de modèles différents chez des dizaines de fabricants, assurer une couverture sécuritaire uniforme relève du parcours du combattant. Samsung, Xiaomi, OnePlus et les autres doivent adapter, tester puis déployer chaque correctif sur leur gamme complète.
Le système RBUS allège cette contrainte en se concentrant sur l’essentiel : traiter immédiatement les menaces réelles, et différer le reste. Pour les fabricants, c’est moins de pression mensuelle et plus de prévisibilité avec les gros bulletins trimestriels planifiés en mars, juin, septembre et décembre.
Cette approche pourrait paradoxalement améliorer la sécurité des smartphones les plus vulnérables. Au lieu de rater complètement des mises à jour mensuelles complexes, les appareils d’entrée de gamme auront plus de chances de bénéficier de correctifs trimestriels mieux préparés.
Des conséquences pour l’écosystème Android
Le changement n’est pas sans contreparties. L’une des plus significatives concerne les ROMs personnalisées comme GrapheneOS. Google ne publiant plus le code source des correctifs chaque mois, les développeurs de systèmes alternatifs ne pourront plus proposer de mises à jour sécuritaires mensuelles, se limitant au rythme trimestriel.
Autre point d’attention : les bulletins trimestriels étant communiqués plusieurs mois à l’avance aux fabricants (contre 30 jours auparavant), le risque de fuites augmente. Des cybercriminels pourraient potentiellement exploiter cette fenêtre plus large pour préparer leurs attaques.
Les experts soulignent également que cette approche risque de créer un marché plus actif pour les exploits « zero-day », les pirates sachant qu’ils disposent de plus de temps avant qu’une faille mineure ne soit corrigée.
Ce que cela change concrètement pour vous
Pour l’utilisateur moyen, les changements seront subtils. Si vous possédez un smartphone haut de gamme avec un bon suivi logiciel, vous continuerez à recevoir vos mises à jour mensuelles. La différence ? Elles seront plus légères et se concentreront sur les vraies urgences.
Pour ceux qui utilisent des modèles plus abordables, souvent délaissés par les mises à jour fréquentes, RBUS pourrait être une bonne nouvelle. Ces appareils auront plus de chances de recevoir au moins les correctifs trimestriels essentiels.
Dans tous les cas, le conseil reste le même : installez vos mises à jour de sécurité dès qu’elles arrivent, qu’elles soient mensuelles, trimestrielles ou exceptionnelles. C’est votre première ligne de défense contre les cybermenaces.
Google mise sur une sécurité plus intelligente avec RBUS, privilégiant la réactivité sur les vraies menaces plutôt que l’exhaustivité systématique. Un pari qui pourrait transformer durablement l’écosystème Android, pour le meilleur… à condition que l’exécution soit à la hauteur des ambitions.
Sources :
- Android Authority – Google’s risk-based Android security updates
- Heise Online – Bad news for custom ROMs: Google changes Android security patch strategy
- PhoneArena – Google has made a huge change to the monthly Android Security Bulletin
- Presse Citron – Google change de stratégie pour les mises à jour de sécurité Android
