Google frappe fort avec son correctif de sécurité de mars. Pas moins de 129 vulnérabilités Android ont été colmatées, dont une faille zéro day critique touchant des centaines de puces Qualcomm. Déjà exploitée de manière ciblée, cette brèche pouvait entraîner une corruption de la mémoire sur les appareils concernés. Voici les détails complets.
Une faille zéro day Qualcomm exploitée avant le correctif
La vulnérabilité la plus préoccupante porte la référence CVE-2026-21385. Elle affecte un composant d’affichage développé par Qualcomm et présente des signes d’exploitation active limitée avant la publication du patch.
D’après les précisions du fondeur, le problème provient d’un débordement d’entier dans un sous-composant Graphics. Cette anomalie peut permettre à un attaquant disposant d’un accès local de provoquer une corruption de la mémoire.
Au total, 235 chipsets Qualcomm seraient concernés par cette faille. Même si les détails techniques des attaques n’ont pas été rendus publics, la classification en zéro day confirme que la vulnérabilité était exploitée avant d’être corrigée.
Dix vulnérabilités critiques dans le système Android
Le bulletin de sécurité de mars ne se limite pas à cette seule faille. Google a également corrigé 10 vulnérabilités critiques supplémentaires réparties dans les composants System, Framework et Kernel d’Android.
Ces failles pouvaient permettre :
- l’exécution de code à distance
- une élévation de privilèges
- un déni de service
La plus grave concerne le composant System. Elle autorisait une exécution de code à distance sans interaction de l’utilisateur et sans privilèges supplémentaires. Autrement dit, un appareil vulnérable pouvait être compromis sans que son propriétaire n’effectue la moindre action.
Deux niveaux de correctifs déployés en mars 2026
Google a publié les mises à jour de sécurité sous deux niveaux distincts : 2026-03-01 et 2026-03-05.
Le correctif daté du 5 mars inclut l’ensemble des patchs du 1er mars, auxquels s’ajoutent des corrections visant des composants tiers propriétaires ainsi que certains sous-composants du noyau. Ces éléments supplémentaires peuvent ne pas être compatibles avec tous les appareils Android, ce qui explique un déploiement progressif selon les fabricants.
Les smartphones Google Pixel bénéficient des mises à jour immédiatement. Les autres constructeurs doivent intégrer, tester et adapter les correctifs à leurs propres configurations matérielles et logicielles avant de les distribuer.
Un enchaînement de failles zéro day ces derniers mois
Cette nouvelle vague de correctifs s’inscrit dans un contexte déjà tendu. En décembre dernier, Google avait corrigé deux autres vulnérabilités zéro day critiques, référencées CVE-2025-48633 et CVE-2025-48572. Elles avaient elles aussi été exploitées de manière ciblée.
La répétition de ces incidents rappelle que la sécurité Android reste un enjeu permanent. Face à des attaques toujours plus sophistiquées, installer rapidement les mises à jour de sécurité demeure la protection la plus efficace pour les utilisateurs.
