Google vient de confirmer une faille de sécurité critique dans Android, exploitée activement par des attaquants. La vulnérabilité CVE-2026-21385 touche 235 processeurs Qualcomm et nécessite une mise à jour système Android immédiate.

Le bulletin de sécurité de mars révèle pas moins de 129 vulnérabilités corrigées dans Android, un record absolu qui dépasse les 97 failles patchées en septembre dernier. Parmi ces correctifs, l’une d’entre elles porte la mention redoutée « zero-day », signifiant que des cybercriminels l’exploitent déjà dans la nature.

Une faille Qualcomm dans le viseur des pirates

CVE-2026-21385 affecte le composant graphique des puces Qualcomm avec un score de gravité de 7,8/10. Concrètement, cette vulnérabilité permet à un attaquant local de provoquer une corruption mémoire via un débordement d’entier (pour faire simple : le processeur traite plus de données qu’il ne peut en gérer). Google indique sobrement qu’il existe « des indications que CVE-2026-21385 pourrait faire l’objet d’une exploitation limitée et ciblée ».

Le constructeur américain a découvert la faille le 18 décembre et a alerté Qualcomm, qui a notifié ses partenaires le 2 février. Une chronologie qui révèle un délai de traitement de deux mois et demi (pas vraiment record en matière de réactivité). La liste des 235 processeurs concernés inclut les Snapdragon 8 Gen 3, 7+ Gen 3 et pratiquement toute la gamme récente du fondeur.

Des correctifs déployés en deux vagues

Google déploie ces correctifs selon deux niveaux de sécurité : 2026-03-01 et 2026-03-05. Le second englobe tous les correctifs du premier, plus des patches spécifiques aux composants tiers et noyau (qui peuvent ne pas s’appliquer à tous les appareils, d’où cette séparation).

Comme d’habitude, les Pixel reçoivent les mises à jour en priorité. Samsung, Xiaomi et les autres constructeurs prennent généralement entre une et quatre semaines pour adapter les correctifs à leurs surcouches respectives. Un délai qui peut sembler long quand on sait que des attaques sont déjà en cours.

Pour vérifier la disponibilité d’une mise à jour, rendez-vous dans Paramètres > Système > Mise à jour système. Si votre niveau de correctif de sécurité affiche « mars 2026 » ou une date postérieure, vous êtes protégé. Attention cela dit : certains utilisateurs signalent que le son disparaît après mise à jour sur quelques modèles Samsung Galaxy S24.

Google a également corrigé deux autres zero-days en décembre (CVE-2025-48633 et CVE-2025-48572), preuve que les attaques ciblées contre Android se multiplient. Avec 129 failles d’un coup, on mesure l’ampleur du travail de sécurisation nécessaire sur un OS qui équipe 71 % du parc mondial de smartphones.