Une faille Android critique corrigée en mai 2026 pourrait permettre à un attaquant proche de compromettre un smartphone Xiaomi sans que l’utilisateur ne touche à rien. Les fichiers OTA officiels ne sont pas encore arrivés sur les serveurs de Xiaomi, mais le bulletin de sécurité Android de mai 2026 révèle déjà l’essentiel : cette mise à jour HyperOS ne doit pas être repoussée. Elle ne promet pas une avalanche de nouveautés visibles, mais elle ferme une brèche capable de menacer directement les données personnelles.
Une mise à jour discrète, mais capitale pour les utilisateurs Xiaomi
Le correctif de sécurité de mai 2026 ne cherche pas à impressionner avec de nouvelles fonctions. Son rôle est bien plus sérieux : corriger une vulnérabilité système classée critique.
Cette faille, identifiée sous le nom CVE-2026-0073, se trouve dans le composant System d’Android. Elle permet une exécution de code à distance, l’un des scénarios les plus redoutés sur smartphone.
Le danger vient surtout du fait qu’aucune action de l’utilisateur n’est nécessaire. Pas besoin de cliquer sur un lien. Pas besoin d’installer une application piégée. Pas besoin de tomber dans un piège.
Un téléphone pourrait être exposé simplement parce qu’un attaquant se trouve à proximité, sur un réseau adjacent ou dans une portée rapprochée.
Une attaque sans clic qui change tout
CVE-2026-0073 est inquiétante parce qu’elle relève d’un scénario dit zero-click. L’utilisateur peut garder son smartphone verrouillé dans sa poche et rester malgré tout exposé.
Selon les informations du bulletin Android, l’exploitation de cette faille peut permettre d’exécuter du code avec des privilèges de type shell user. Ce niveau d’accès donne à l’attaque une gravité particulière, car elle touche une couche profonde du système.
Pour un utilisateur, le risque est simple à comprendre : les photos, les messages, les applications bancaires et les connexions à l’écosystème Xiaomi peuvent devenir des cibles si l’appareil reste non corrigé.
adbd est aussi touché, avec une protection partielle possible
La faille concerne également adbd, le démon Android Debug Bridge utilisé pour certaines fonctions de débogage sur Android.
Ce détail peut jouer en faveur de certains utilisateurs. Comme adbd est géré via Google Project Mainline, une partie de la protection pourrait arriver par les mises à jour système Google Play, avant même la diffusion complète du patch OTA par Xiaomi.
Cette protection éventuelle ne remplace pas la mise à jour HyperOS complète. Elle peut seulement réduire le risque en attendant le correctif final fourni par Xiaomi.
HyperOS 2 et HyperOS 3 devraient recevoir le correctif
Xiaomi devrait intégrer ce patch aux appareils reposant sur Android 14, Android 15 et Android 16. Le déploiement devrait donc concerner à la fois HyperOS 2 et HyperOS 3.
Les premiers modèles servis devraient être les smartphones haut de gamme et les milieux de gamme premium. Les versions Global, EEA, India et China sont attendues dans les vagues de diffusion habituelles.
Pour vérifier que le correctif est bien installé, il faudra contrôler la ligne ro.build.version.security_patch. La bonne valeur à voir apparaître sera 2026-05-01.
Même un smartphone récent et puissant peut être concerné
Le prix du téléphone ne protège pas contre cette faille. Un modèle abordable et un flagship à plus de 1 000 dollars équipé d’une puce comme le Snapdragon 8 Elite peuvent partager une base Android exposée au même problème.
C’est ce qui rend cette mise à jour si importante. Elle ne concerne pas seulement les utilisateurs avancés, ni seulement les personnes qui installent des fichiers APK venus d’ailleurs.
Elle touche un risque plus silencieux, plus frustrant aussi : celui d’un appareil vulnérable sans erreur visible de son propriétaire.
Dès que la mise à jour arrive, il faudra l’installer
Cette mise à jour de sécurité de mai 2026 doit être installée dès sa disponibilité. Le correctif protège contre une faille qui ne repose pas sur une arnaque classique, ni sur un clic imprudent.
Pour les utilisateurs Xiaomi, Redmi et POCO sous HyperOS, l’enjeu est très concret : garder le contrôle sur leurs données personnelles, leurs applications sensibles et les services connectés à Xiaomi HyperConnect.
Ce patch ne se verra peut-être pas au premier regard. Mais il pourrait être l’une des mises à jour les plus importantes de l’année pour la sécurité des smartphones Xiaomi.
Je m’appelle Samuel Le Goff. À 38 ans, je suis l’actualité du numérique depuis plus de 14 ans. Aujourd’hui, je m’intéresse particulièrement aux smartphones et aux usages concrets de l’intelligence artificielle, que je traite à travers des contenus clairs et accessibles sur Menow.fr.
