Une faille logique dans le routage réseau d’Android 16 permet à une application ordinaire d’envoyer du trafic hors tunnel VPN, même lorsque les réglages censés bloquer toute connexion directe sont activés. Google ne prévoit pas de correctif, contrairement à GrapheneOS, qui a déjà désactivé la fonction en cause.
Si vous avez déjà fouillé les réglages réseau d’Android, peut-être avez-vous déjà croisé l’option VPN permanent. Elle permet au système d’associer le téléphone à une application de réseau privé virtuel par défaut, que l’OS relance automatiquement après un redémarrage ou un changement de réseau. Juste en dessous, la fonction de blocage des connexions sans VPN empêche strictement les applications d’accéder à Internet tant que le tunnel n’est pas disponible. Du moins, en théorie, puisqu’une faille documentée fin avril par le chercheur lowlevel / Yusuf vient prendre cette promesse à revers. Surnommée Tiny UDP Cannon, elle exploite une fonction d’Android 16 chargée de gérer la fermeture propre des connexions QUIC. Le bug ne transforme pas le smartphone en passoire et ne permet pas d’aspirer toute la navigation, mais il suffit à faire sortir un paquet UDP hors VPN et à exposer l’adresse IP publique réelle de l’appareil.
Offre partenaire
Votre petite entreprise a de grandes ambitions. Protégez-là contre les pirates. Et développez sereinement votre activité !
Offre partenaire
Une optimisation QUIC trop laxiste
Dans le détail, le bug relève d’une faille de conception dans la gestion réseau d’Android 16. Lorsqu’une application ferme une connexion QUIC, elle peut confier au système un dernier message de clôture, transmis dans un paquet UDP, que l’OS enverra ensuite au serveur distant pour éviter qu’une session ne traîne jusqu’à expiration. Dans l’idée, il s’agit d’une petite optimisation réseau de courtoisie, mais Android l’encadre trop peu. Le système accepte le contenu fourni par l’application sans s’assurer qu’il correspond bien à une fermeture QUIC légitime, et sans vérifier si cette application doit obligatoirement passer par le VPN.
Conséquence directe, le paquet peut emprunter la connexion Internet d’origine au lieu d’être routé dans le tunnel VPN, y compris lorsque le blocage des connexions sans VPN est activé. Ce réglage coupe les sorties hors tunnel des applications, mais Android conserve des accès réseau directs pour certains composants système chargés de gérer la connectivité. Or, comme le message de clôture est expédié par l’un de ces processus autorisés à communiquer directement avec Internet, et non par l’application censée passer par le réseau privé virtuel, le client VPN ne voit rien passer, et la requête arrive côté serveur identifiée par l’adresse IP publique réelle de l’appareil.
Google passe son tour, Mullvad dégaine l’ADB, GrapheneOS neutralise la fuite
Alerté en amont de la divulgation, Google n’a pas jugé bon de considérer Tiny UDP Cannon comme une faille de sécurité à corriger dans Android. D’après la chronologie publiée par lowlevel, le rapport a été transmis au programme de vulnérabilités Android le 12 avril 2026, preuve de concept à l’appui, avant que Mountain View décide, six jours plus tard, de ne rien faire.
La décision a logiquement fait réagir du côté des acteurs les plus attentifs aux questions de confidentialité, Mullvad ayant détaillé une parade possible, consistant à activer le débogage USB, passer par Android Debug Bridge (ADB), puis exécuter deux commandes pour désactiver la fonction d’envoi du paquet de clôture QUIC :
adb shell device_config put tethering close_quic_connection -1
adb reboot
La modification est censée survivre aux redémarrages, mais pas forcément aux futures mises à jour système, auquel cas il faudra recommencer.
Du côté de GrapheneOS, on a préféré prendre le taureau par les cornes et neutraliser la fonction directement dans le code de la ROM.
Bref, si cette faille change quelque chose à votre modèle de risque, il n’y a pas trente-six solutions. Sortir ADB, répéter la manipulation si Android l’écrase lors d’une mise à jour, ou passer à GrapheneOS si votre smartphone est compatible. Pour les autres, il faudra surtout espérer que Google finisse par revenir sur ses positions.
