CVE-2026-0073 : RCE Zero-Click Android ADB Wireless (CVSS 9.8)

Les faits

Google a publié son bulletin de sécurité Android de mai 2026, révélant une vulnérabilité critique référencée CVE-2026-0073 et notée CVSS 9.8 par le NVD/NIST. Cette faille affecte le composant Android Debug Bridge Wireless (ADB Wireless) présent sur toutes les versions d'Android de 14 à 16-qpr2. Elle permet à un attaquant positionné sur le même segment réseau local ou à portée Wi-Fi d'exécuter du code arbitraire sur un appareil vulnérable sans qu'aucune interaction de la part de l'utilisateur ne soit requise — une attaque dite zero-click, parmi les plus dangereuses de la taxonomie CVSS.

La faille réside précisément dans la fonction adbd_tls_verify_cert du fichier auth.cpp, composant central du démon ADB chargé de valider les certificats TLS lors de l'établissement de sessions de débogage sans fil. Ce mécanisme, introduit dans Android 11 pour sécuriser les sessions ADB sur réseau Wi-Fi, implémente une authentification mutuelle basée sur l'échange de certificats TLS. Un défaut logique dans la routine de vérification permet de présenter un certificat malformé ou forgé qui déclenche un retour positif de la fonction sans qu'aucune validation cryptographique réelle n'ait eu lieu. L'attaquant obtient ainsi un accès shell complet au démon ADB, avec les privilèges associés au système Android.

Sur le plan de l'exploitabilité, le vecteur d'attaque est qualifié de Adjacent/Local (AV:A) dans la nomenclature CVSSv3, ce qui signifie que l'attaquant doit se trouver sur le même segment réseau que l'appareil cible — typiquement le même réseau Wi-Fi. Cette contrainte de proximité ne doit pas être minimisée : dans les environnements professionnels (open spaces, espaces de coworking, hôtels d'entreprise, aéroports, salons et conférences), des dizaines voire des centaines d'appareils Android partagent régulièrement un même point d'accès Wi-Fi. Un attaquant ayant préalablement compromis un routeur ou un point d'accès peut également déclencher l'exploitation à distance depuis n'importe quelle position sur le réseau concerné.

La condition d'activation de la fonctionnalité ADB Wireless est centrale dans l'évaluation de l'exposition. Par défaut, ADB Wireless est désactivé sur les appareils grand public. Cependant, de nombreux profils d'utilisateurs professionnels l'activent : développeurs d'applications mobiles, équipes QA, administrateurs MDM effectuant des opérations de maintenance sans câble. Les politiques MDM (Mobile Device Management) déployées par certaines entreprises peuvent également activer cette fonctionnalité à des fins de gestion. La recherche de services exposant le port TCP 5555 — port par défaut d'ADB — sur des segments réseau internes est une étape de reconnaissance rapide et automatisable pour un attaquant.

L'impact d'une exploitation réussie de CVE-2026-0073 est maximal. Un accès ADB complet permet d'accéder à l'ensemble des données stockées sur l'appareil (y compris les données des applications professionnelles), d'installer silencieusement des APK malveillants sans confirmation de l'utilisateur, d'activer des composants matériels (microphone, caméra, GPS), d'exfiltrer des credentials stockés dans les gestionnaires de mots de passe Android, de contourner l'authentification biométrique pour accéder aux applications d'entreprise, et de pivoter vers d'autres systèmes du réseau interne via l'appareil compromis. Dans un contexte BYOD ou d'utilisation d'appareils mobiles pour accéder à des VPN d'entreprise, le rayon d'impact est considérable.

Google a confirmé la vulnérabilité et publié le correctif dans son bulletin de sécurité Android de mai 2026, disponible à partir du niveau de correctif 2026-05-01. Samsung a intégré la correction dans sa mise à jour SMR-MAY-2026. Les constructeurs Xiaomi et OnePlus ont annoncé des mises à jour dans leurs cycles standards de 30 à 60 jours. Les appareils dont le fabricant ne fournit plus de support (fin de vie) ne recevront pas de correctif officiel, créant un risque résiduel durable pour les parcs d'équipements anciens non remplacés.

Au moment de la rédaction de cet article, aucun code d'exploitation public (PoC) n'a été officiellement divulgué selon les informations disponibles sur NVD et CISA KEV. La CISA n'a pas encore ajouté CVE-2026-0073 à son catalogue KEV. Cependant, la nature précisément documentée du bug dans auth.cpp — information rendue disponible par la publication du correctif open source d'Android — fournit aux chercheurs en sécurité offensive un point de départ clair pour le développement d'un exploit. Les groupes APT disposant de capacités mobiles avancées sont susceptibles de travailler sur des variantes privées, particulièrement dans un contexte de cyberespionnage ciblant des dirigeants ou des personnels sensibles.

D'après SecurityWeek et eSecurity Planet, les appareils Google Pixel bénéficient d'une mise à jour immédiate via le programme de sécurité mensuel. Pour les marques tierces, le délai de déploiement dépend des processus de qualification des opérateurs téléphoniques, ajoutant souvent 2 à 8 semaines de latence supplémentaire après la publication du bulletin Google — fenêtre pendant laquelle les appareils restent exposés même si le correctif est techniquement disponible.

Impact et exposition

CVE-2026-0073 touche tous les appareils Android exécutant les versions 14, 15, 16 et 16-qpr2 sans le patch du 1er mai 2026. Selon les statistiques de distribution Android, ces versions représentent plus de 70 % du parc mondial actif, soit potentiellement plusieurs milliards d'appareils. L'exposition est particulièrement critique dans les environnements professionnels où des appareils Android accèdent à des ressources d'entreprise (email, VPN, applications métier) sur des réseaux Wi-Fi partagés. Les secteurs les plus exposés incluent la finance, la santé, le conseil et toute organisation avec une politique BYOD active.

La condition de présence sur le même réseau est facilement satisfaite dans de nombreux scénarios réels : réseaux Wi-Fi d'entreprise non segmentés, hôtels d'affaires, conférences sectorielles et salons professionnels. Un attaquant présent dans ces environnements peut automatiser la découverte d'appareils Android vulnérables via un scan du port 5555 et déclencher l'exploit de façon ciblée ou opportuniste. La nature zero-click de l'attaque la rend indétectable par l'utilisateur final, qui ne reçoit aucune notification ni alerte visible.

L'exploitation active n'est pas confirmée publiquement à ce jour selon CISA KEV et le rapport de Google. Cependant, la simplicité conceptuelle du vecteur d'attaque et la disponibilité du code source corrigé (permettant par différentiel de localiser précisément le bug) accélèrent considérablement le développement d'exploits. Les équipes de sécurité doivent traiter cette vulnérabilité comme potentiellement exploitée en attendant confirmation officielle.

Recommandations immédiates

• Appliquer immédiatement le bulletin de sécurité Android mai 2026 (niveau 2026-05-01) — Android Security Bulletin May 2026 (Google)
• Sur Samsung : appliquer la mise à jour SMR-MAY-2026 disponible dans Paramètres → Mise à jour du logiciel
• Désactiver ADB Wireless sur tous les appareils professionnels : Paramètres → Options développeur → Débogage sans fil → OFF
• Déployer via MDM/EMM (Microsoft Intune, Jamf, VMware Workspace ONE) une politique de conformité bloquant les appareils Android sans le patch 2026-05-01
• Surveiller les connexions TCP entrantes et sortantes sur le port 5555 sur tous les segments réseau hébergeant des appareils mobiles
• Identifier et isoler ou remplacer les appareils Android en fin de vie ne pouvant recevoir le correctif