CVE-2026-0073 : Android frappé par un zero-click RCE via ADB sans fil

Ce qui s'est passé

Google a publié le 5 mai 2026 son bulletin de sécurité mensuel Android, et le contenu détonne par sa gravité. La vulnérabilité CVE-2026-0073, classée critique par Google, permet une exécution de code à distance sans aucune interaction utilisateur — le scénario le plus craint dans l'écosystème mobile. Le bug réside dans la fonction adbd_tls_verify_cert du fichier auth.cpp, qui assure la vérification du certificat TLS lors de l'authentification mutuelle d'Android Debug Bridge en mode sans fil. Une erreur logique permet à un attaquant proche du réseau local — Wi-Fi public, partage de connexion, ou simple proximité physique — de contourner cette authentification et d'obtenir un shell sur le terminal.

L'ADB sans fil est devenu populaire ces dernières années, notamment pour les développeurs qui veulent éviter les câbles, mais aussi pour les utilisateurs avancés et les outils de gestion de flotte qui exploitent cette interface pour le diagnostic. Ce qui était une commodité devient un vecteur d'attaque massif lorsque la vérification de certificat est défaillante. Selon les chercheurs cités par SecurityWeek et CyberSecurityNews, l'exploitation ne demande aucun élément côté victime : pas de tap, pas de téléchargement, pas de validation de boîte de dialogue. L'attaquant scanne le réseau, identifie un appareil avec ADB sans fil activé, et profite de la faille pour obtenir un accès shell.

Le score CVSS varie selon les sources entre 8.8 et 9.8, mais Google parle de gravité critique sans ambiguïté. Le shell obtenu s'exécute avec les privilèges de l'utilisateur shell d'Android, ce qui est plus restreint que root, mais offre déjà un terrain de jeu considérable : exfiltration de données du sandbox utilisateur, installation d'applications, manipulation des paramètres système non protégés, déploiement de malware persistant via abuse des composants accessibles depuis l'utilisateur shell. Combinée à un autre bug d'escalade locale, la chaîne mène facilement à un compromis complet du device.

Sont impactées les versions Android 14, 15, 16 et 16 QPR2, soit la quasi-totalité du parc moderne. Google indique que le patch level 2026-05-01 corrige la vulnérabilité, mais le calendrier réel de déploiement dépend des constructeurs et des opérateurs. Les terminaux Pixel reçoivent généralement le correctif en quelques jours, tandis que les écosystèmes Samsung, Xiaomi, Oppo et autres OEM peuvent nécessiter plusieurs semaines, voire ne jamais recevoir le patch pour les modèles en fin de support. Cette fragmentation chronique reste l'un des points faibles structurels d'Android, particulièrement préoccupant lorsque la vulnérabilité est zero-click.

Un détail technique notable : la faille concerne uniquement l'ADB sans fil, désactivé par défaut sur la plupart des terminaux. Mais elle est activée sur tout appareil dont le mode développeur est ouvert et où l'utilisateur a explicitement basculé l'ADB en mode sans fil — un cas fréquent pour les développeurs, les power users, les entreprises qui font du MDM avancé, et tous les contextes où des outils de diagnostic à distance sont utilisés. Pire, certains constructeurs activent par défaut des fonctionnalités de connexion sans fil aux outils Android Studio, ce qui élargit involontairement la surface d'attaque.

Selon TheCyberThrone et BeyondMachines, l'exploit a été démontré en laboratoire mais aucune preuve d'exploitation in the wild n'est documentée publiquement à ce stade. Toutefois, la qualité du write-up technique et la trivialité relative de l'exploitation laissent prévoir une apparition rapide de scripts publics. Les équipes red team commerciales et plusieurs unités spécialisées dans les attaques mobiles — pensons aux acteurs étatiques ciblant journalistes et opposants — sont susceptibles de tester l'exploitation dès la disponibilité d'un PoC. Les détenteurs de Pegasus, Predator ou Triangulation l'auront sans doute déjà intégré dans leurs chaînes d'infection.

Le bulletin Android de mai contient également d'autres correctifs notables, dont un bug haute sévérité dans le composant Framework et plusieurs failles dans les pilotes Qualcomm et MediaTek. Google n'a pas mentionné CVE-2026-0073 dans la liste des « vulnérabilités exploitées dans la nature », mais ce statut peut évoluer rapidement comme cela a été le cas en février dernier avec un bug NTLM zero-click similaire.

Pour les utilisateurs, la consigne est limpide : appliquer le patch dès que le constructeur le pousse, et désactiver l'ADB sans fil dans les options développeur tant que la mise à jour n'est pas en place. Pour les administrateurs MDM, il convient d'auditer les politiques d'activation d'ADB et de pousser une règle interdisant l'ADB sans fil sur les terminaux non patchés. La protection réseau peut également aider en filtrant le port 5555/TCP, utilisé par défaut par ADB sans fil, mais c'est un palliatif imparfait dans les environnements mobiles.

Pourquoi c'est important

Les vulnérabilités zero-click sont les graals du marché des exploits mobiles. Elles permettent une compromission silencieuse, sans trace immédiatement visible pour l'utilisateur, et sont souvent valorisées plusieurs millions de dollars sur les marchés gris où s'alimentent les éditeurs de spyware étatique. Voir une faille de cette catégorie publiée publiquement avec un score CVSS quasi maximal suggère soit qu'elle a été découverte par recherche académique, soit qu'elle a déjà été utilisée et a fait l'objet d'un signalement éthique avant d'être brûlée. Dans les deux cas, l'industrie mobile entre dans une phase tendue.

L'écosystème Android pâtit d'une fragmentation que ses concurrents iOS ne connaissent pas. Apple peut pousser un correctif global en 24 à 72 heures à plus d'un milliard d'appareils. Sur Android, la même opération peut prendre des semaines, et certains modèles ne sont jamais patchés faute de mises à jour fournies par leurs constructeurs ou leurs opérateurs. Cette fenêtre d'exposition prolongée transforme chaque CVE critique en une opportunité durable pour les attaquants. Pour les entreprises qui déploient des flottes Android — secteur retail, logistique, terrain technique — l'hygiène patch est désormais un sujet de gouvernance senior, pas un chantier IT secondaire.

Pour les RSSI gérant du BYOD, la vulnérabilité oblige à reconsidérer plusieurs hypothèses. D'abord, supposer qu'un appareil personnel n'expose pas l'ADB est risqué : beaucoup d'utilisateurs ont activé le mode développeur pour des raisons annexes (sideload, root, customisation) sans en mesurer les implications. Ensuite, les politiques MDM courantes ne couvrent pas systématiquement l'ADB sans fil, qui peut s'activer sans déclencher d'alerte. Enfin, la détection d'un compromise via ADB sans fil est extrêmement difficile sans EDR mobile dédié, lequel reste une brique encore peu déployée hors des secteurs très sensibles.

Sur le plan réglementaire, l'affaire entre en résonance avec le Cyber Resilience Act européen, qui impose désormais aux fabricants de terminaux des obligations claires de notification, de support pendant la durée de vie du produit, et de patching rapide. La Commission européenne et l'ENISA suivent attentivement la rapidité avec laquelle les OEM Android pousseront le correctif : un retard significatif chez certains constructeurs pourrait nourrir des sanctions. Côté France, l'ANSSI et la CNIL ont déjà rappelé à plusieurs reprises que la sécurité des terminaux mobiles relève désormais du devoir de diligence pour les entreprises traitant des données sensibles, en particulier dans les secteurs santé, finance et défense.

Ce qu'il faut retenir

• CVE-2026-0073 est un zero-click RCE Android via ADB sans fil, corrigé dans le bulletin de sécurité du 5 mai 2026.
• Toute version Android entre 14 et 16 QPR2 est vulnérable tant que le patch level 2026-05-01 n'est pas appliqué.
• Désactiver immédiatement l'ADB sans fil et auditer les politiques MDM est la première mesure compensatoire en attendant le déploiement du correctif.