Faille critique sur 235 puces Qualcomm : des millions de smartphones Android doivent être mis à jour

Google a publié le patch de sécurité Android de mars 2026. Il s’agit du premier de l’année avec 129 failles corrigées, dont 10 critiques. Et une vulnérabilité zero day dans un composant Qualcomm est déjà exploitée par des pirates.

Bref, il faut mettre à jour votre smartphone contre cette menace alors qu’en parallèle, un virus utilise Gemini pour frapper ces derniers jours. Pour rappel, le dernier patch de sécurité remonte à décembre 2025. Google avait supprimé 107 vulnérabilités.

Google déploie un correctif d’urgence pour une faille qui touche Qualcomm

Parmi les dix failles critiques, la plus inquiétante est la CVE-2026-0006. Il s’agit d’un bug dans le composant System qui permet d’exécuter du code à distance. Le pirate envoie du code et le smartphone l’exécute sans la moindre interaction de l’utilisateur. Il y a aussi la CVE-2026-0047, une faille d’élévation de privilèges dans le Framework Android. Les pirates combinent souvent ces failles avec une exécution de code à distance pour prendre le contrôle total de l’appareil

Sauf que voilà, la faille la plus grave n’est pas dans Android lui-même. Elle se cache dans un composant d’affichage Qualcomm. Il s’agit de la CVE-2026-21385, une faille notée 7,8 sur 10 en termes de gravité. Il s’agit d’un dépassement d’entier qui corrompt la mémoire lors de l’allocation. En gros, un pirate injecte des données sans que le système vérifie l’espace disponible. Google explique avoir trouvé « des indices » que la faille est déjà exploitée dans des attaques ciblées. Ce n’est pas la première fois puisqu’une faille de sécurité a déjà touché les puces Snapdragon en 2024.

Il faut dire que l’ampleur est énorme. Qualcomm classe la brèche comme critique. Elle touche 235 références de puces. On parle de millions de smartphones et tablettes Android à travers le monde. Les pirates ciblent ces appareils en permanence, comme le prouvent les 331 applications dangereuses repérées sur le Google Play Store. Qualcomm a été averti le 18 décembre 2025. L’entreprise a prévenu les constructeurs le 2 février 2026. Google a donc bouclé le correctif en quelques semaines.

Des millions d’utilisateurs concernés par cette faille

Les puces Qualcomm sont partout. OnePlus, Oppo, Samsung, Xiaomi, tous utilisent ces processeurs. Les failles de puces Qualcomm sont dangereuses pour des millions de smartphones, c’est un problème récurrent. Le gouvernement serbe a même exploité des failles zero day de Qualcomm pour espionner des journalistes avec le malware NoviSpy.

Comme d’habitude, Google a publié deux correctifs. La première est sortie le 1er mars 2026 pour les failles du système Android. La seconde est tombée le 5 mars avec les correctifs pour les composants tiers et le noyau. La même méthode a été utilisée quand Google a corrigé 62 failles en avril 2025. Les constructeurs intègrent ces patchs dans leur propre surcouche. Et c’est là que ça coince. Entre le temps de développement et le déploiement, des semaines s’écoulent.

Le problème, c’est que beaucoup d’utilisateurs ne mettent jamais à jour leur smartphone. Et puis n’oublions pas que des millions d’appareils Android n’ont plus le droit aux patchs de sécurité. Les constructeurs stoppent le suivi après deux à quatre ans selon les marques. Samsung propose sept ans de mises à jour pour le haut de gamme. Mais sur le milieu de gamme, c’est souvent moins. Les appareils abandonnés restent vulnérables, alors que 11 millions de smartphones Android ont été piratés par le malware Necro via le Play Store.

Comment installer la mise à jour de sécurité Android de mars 2026 ?

Pour vérifier si le patch est disponible sur votre smartphone, c’est simple : 

• Allez dans Paramètres.
• Puis À propos de l’appareil.
• Sélectionnez Mise à jour logicielle.

Si rien n’est  disponible, votre constructeur n’a pas encore intégré le correctif. Il faudra patienter. On parle quand même de 129 failles corrigées dont une zero day active, ce patch n’est pas à ignorer.