Android corrige 129 failles en mars 2026, dont un zero-day exploité: ce qu’il est nécessaire d’executer rapiddement

129 failles d’un coup, et une faille zero-day déjà exploitée. Le patch de sécurité Android de mars 2026, lâché par Google, est le plus gros « batch » mensuel depuis avril 2018. Ça veut dire un truc simple: il y avait du retard à rattraper, et pas juste sur des détails théoriques. Dans le lot, une vulnérabilité de corruption mémoire (CVE-2026-21385) touche un composant d’affichage open source lié à Qualcomm.

Google parle d’une exploitation « limitée » et « ciblée ». Traduction terrain: pas besoin que tout le monde se fasse plomber pour que ça fasse mal. Les attaques les plus rentables, c’est souvent celles qui visent peu de monde mais bien choisi. Si tu as un Android, la priorité c’est de vérifier ton niveau de correctif et d’installer la mise à jour dès qu’elle arrive chez ton fabricant.

Le zero-day Qualcomm CVE-2026-21385 vise l’affichage

Le point qui pique, c’est ce zero-day: CVE-2026-21385. On parle d’une corruption mémoire dans un composant d’affichage open source utilisé dans l’écosystème Qualcomm. Qualcomm a listé 234 chipsets concernés. Oui, 234. Du coup, ça couvre potentiellement une grosse partie du parc Android, selon les gammes et les années. Google dit que la faille « peut » être sous exploitation ciblée, et c’est déjà trop.

Concrètement, les failles de corruption mémoire, c’est le genre de porte d’entrée qui peut servir à faire planter un système, contourner des protections, ou enchaîner vers plus grave selon le contexte. Marc, admin mobile dans une boîte de transport, me disait: « Quand je vois ‘memory corruption’ + ‘exploited’, je pars du principe que des gens ont déjà une chaîne d’attaque prête. » Ce n’est pas de la panique, c’est de l’hygiène.

Google rappelle aussi qu’Android durcit la plateforme, notamment avec Rust (langage dit memory-safe) et des protections anti-exploitation. C’est bien. Le truc c’est que ça ne te protège pas si tu restes avec un patch de six mois. Même un appareil « bien conçu » finit par craquer si la mise à jour n’arrive jamais. Et là, l’attaque n’a même pas besoin d’être massive pour être rentable.

Deux niveaux de patch 2026-03-01 et 2026-03-05, et ça change tout

Le bulletin de mars 2026 arrive avec deux niveaux de patch: 2026-03-01 et 2026-03-05. Ce n’est pas un détail pour nerds. Ça permet aux partenaires Android de déployer en deux temps: un socle de correctifs « communs », puis un niveau plus complet qui couvre des éléments supplémentaires selon les composants et l’intégration. Dans la vraie vie, ça se traduit par des mises à jour qui n’ont pas toutes le même contenu.

Tu l’as déjà vu: deux téléphones reçoivent une « mise à jour de sécurité de mars », mais l’un affiche 2026-03-01 et l’autre 2026-03-05. Résultat, ils ne sont pas au même niveau de risque. Si tu gères une flotte (PME, collectivité, association), ça complique les règles: tu dois contrôler le niveau exact, pas juste « c’est à jour ». Et côté utilisateur, il faut aller vérifier dans Paramètres, À propos du téléphone, Niveau du correctif de sécurité Android.

La nuance, et elle est importante: les constructeurs sortent les patchs à leur rythme, après avoir adapté l’OS à leur matériel. Donc Google peut publier, mais toi tu peux attendre. C’est là que ça coince depuis des années sur Android. Sur le papier, 129 failles corrigées, c’est rassurant. Dans les faits, si ton modèle est en fin de support, tu peux rester exposé. Et ça, aucun communiqué ne le maquillera.

129 vulnérabilités d’un coup: pourquoi mars 2026 ressemble à un rattrapage

129 vulnérabilités corrigées en un mois, c’est énorme. Google n’avait pas sorti un total mensuel pareil depuis avril 2018. Ça raconte une histoire: la cadence de divulgation et de patch côté Android a été moins régulière, avec des périodes plus « occasionnelles » que vraiment mensuelles. Et quand tu reviens à un gros bulletin, tu as l’impression d’un rattrapage. Pour les attaquants, ces périodes sont intéressantes: plus ça traîne, plus les cibles se multiplient.

Pour te donner un repère, en décembre 2025, Google avait déjà corrigé 107 vulnérabilités, dont deux zero-days activement exploités. Les failles exploitées citées à l’époque touchaient le Framework Android, avec des profils classiques: divulgation d’informations (CVE-2025-48633) et élévation de privilèges (CVE-2025-48572) sur Android 13 à 16. Même logique: quand c’est « exploité », ce n’est plus un exercice scolaire, c’est une course.

Le scénario le plus banal reste le plus dangereux: tu reçois un lien, tu cliques, et derrière ça enchaîne avec une vulnérabilité. Pas besoin d’un film d’espionnage. Le conseil pratique ne bouge pas: installe les mises à jour système dès qu’elles apparaissent, garde Google Play Protect activé, et évite les applis hors stores de confiance. Si tu es sur un téléphone qui ne reçoit plus rien, le vrai choix rationnel, c’est de planifier un remplacement.