Les chercheurs de Nebula Security ont découvert une série de vulnérabilités critiques dans Android 17, la dernière mise à jour du système d’exploitation de Google. En exploitant cette faille, intitulée IonStack, un attaquant est en mesure de prendre le contrôle complet d’un smartphone sous Android 17. Pour déclencher la cyberattaque, il suffit de pousser la victime à cliquer sur un lien malveillant, envoyé par SMS, sur WhatsApp, ou encore par mail.
C’est pourquoi la vulnérabilité est considérée comme critique, et particulièrement préoccupante, par les chercheurs. Un « simple clic sur une URL permet à un attaquant de prendre le contrôle total de votre téléphone », souligne Nebula Security dans une publication sur X.
Nebula Security is now backed by Y Combinator.
We’re celebrating by bringing you the world’s first Android 17 root demo — “IonStack”, a url click can let attacker fully control your phone.
This is not only an Android root demo. We’re bringing you a full chain browser-to-kernel… pic.twitter.com/AvcpdCUvpj
— Nebula Security (@nebusecurity) June 24, 2026
A lire aussi : 2 millions de TV et de boîtiers Android ont été piratés, mais Google contre-attaque
Une cyberattaque qui repose sur deux failles de sécurité
L’offensive s’appuie ensuite sur une faille de sécurité située dans le code du navigateur Firefox. Si la victime ouvre ce lien dans Firefox, la page malveillante s’exécute automatiquement, sans qu’aucune autre action ne soit nécessaire de la part de l’utilisateur. Une fois la page chargée, elle exploite la vulnérabilité située dans un composant de Firefox chargé d’accélérer l’exécution du code JavaScript. En se servant de la faille, l’attaquant est en mesure de corrompre la mémoire du navigateur. Il peut ainsi sortir de la « sandbox » du navigateur, cette bulle de sécurité censée empêcher une page web d’accéder au reste du système d’exploitation.
Une fois échappé de la zone de sécurité, l’attaquant se retrouve dans le processus de Firefox lui-même, mais pas encore dans le système complet. Comme l’expliquent les chercheurs, il va alors exploiter une seconde vulnérabilité, présente depuis plus de quinze ans dans le noyau Linux du système Android. Il s’agit d’une vulnérabilité d’élévation de privilèges. C’est à ce moment-là que la cyberattaque se propage sur le reste du smartphone.
Après avoir enchaîné ces deux vulnérabilités, l’attaquant va obtenir les droits d’accès root, le niveau d’accès le plus élevé possible sur un système Android. Il s’octroie ainsi un contrôle total du téléphone. Il peut lire les photos, les mots de passe enregistrés, activer la caméra ou le microphone, ou encore installer d’autres logiciels malveillants. Bref, il peut faire absolument tout ce qu’il veut.
Des failles débusquées par l’IA
Notez que les deux failles n’ont pas été débusquées par des chercheurs humains, mais par une intelligence artificielle appelée VEGA. Développé par Nebula Security, l’agent d’IA est programmé pour scanner du code informatique à la recherche de vulnérabilités. Les chercheurs ont promptement prévenu tous les éditeurs concernés de la situation. Bonne nouvelle, rien n’indique qu’elle ait été exploitée par de véritables cybercriminels, en amont de la découverte.
Pour se protéger, il faut d’abord mettre à jour Firefox vers la version 151.0.3 ou une version plus récente. Ensuite, vérifiez que le correctif de sécurité de juin 2026 a bien été installé sur votre smartphone Android. Il est possible que le constructeur de votre téléphone n’ait pas encore lancé le déploiement de la mise à jour de sécurité sur votre appareil.
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp.

