Depuis l’été 2025, un bug Android 16 coupe les connexions VPN sans aucun avertissement. Pas de notification, pas de message d’erreur. Votre VPN s’arrête en arrière-plan et vous continuez de naviguer en pensant être protégé. Plusieurs fournisseurs majeurs ont tiré la sonnette d’alarme. Proton VPN, Mullvad, WireGuard et TunnelBear sont tous touchés. Sept mois plus tard, Google n’a toujours pas corrigé le problème.
Comment le bug Android 16 désactive votre VPN sans prévenir
Le dysfonctionnement se déclenche le plus souvent après une mise à jour d’application VPN via le Google Play Store. Quand le Play Store met à jour le client VPN en arrière-plan, le service se coupe. Mais l’icône du VPN peut rester affichée dans la barre de notifications. L’utilisateur ne voit rien. Il pense que sa connexion est chiffrée alors qu’elle ne l’est plus. Tout le trafic passe alors en clair, sans aucune protection. C’est exactement le contraire de ce qu’un VPN est censé faire. Le problème touche aussi bien les Pixel que les appareils Samsung équipés de One UI 8, ce qui élargit considérablement le nombre de victimes potentielles.
Proton VPN dénonce publiquement l’inaction de Google
Le 18 mars 2026, Proton VPN a publié un fil sur X pour interpeller Google directement. Le message est sans ambiguïté. Le fournisseur suisse affirme que Google connaît ce bug depuis août 2025 et n’a rien fait. Un porte-parole de Google avait répondu à l’époque qu’il ne voyait rien d’anormal. Un mois plus tard, la firme avait reconnu vouloir examiner le problème de plus près. Mais aucun correctif n’est apparu dans les bulletins de sécurité de mars 2026. La mise à jour Android 16 QPR3 ne mentionne pas non plus ce bug. Proton appelle désormais les utilisateurs à signaler massivement le problème pour forcer une réaction. Face à ce constat, créer un VPN personnel et l’installer sur un OS dégooglisé est l’une des meilleures solutions.
Pourquoi ce bug est plus grave qu’il n’y paraît
Un VPN sert à chiffrer le trafic et à masquer l’adresse IP. Quand il tombe silencieusement, l’utilisateur perd cette protection sans le savoir. C’est un faux sentiment de sécurité. Pour un journaliste en zone sensible, un militant, un lanceur d’alerte ou simplement quelqu’un connecté à un wifi public, les conséquences peuvent être sérieuses. Les données de navigation, les identifiants, les emails transitent alors sans chiffrement. Et tout opérateur réseau ou acteur malveillant positionné sur le même réseau peut les intercepter.
Ce que vous pouvez faire en attendant un correctif
La seule solution temporaire connue est de redémarrer le téléphone après chaque mise à jour d’application VPN. Vous pouvez aussi désactiver les mises à jour automatiques du Play Store pour votre client VPN et le mettre à jour manuellement. Après chaque mise à jour, vérifiez que votre connexion VPN est bien active en consultant votre adresse IP réelle via un site comme ipleak.net. Certains fournisseurs recommandent aussi d’activer l’option « VPN toujours activé » dans les paramètres Android, bien que cela ne garantisse pas une protection complète contre ce bug précis.
Un problème de confiance entre Google et ses utilisateurs
Ce bug Android 16 n’est pas qu’un incident technique isolé. Il révèle un rapport de force déséquilibré. Des millions d’utilisateurs dépendent du système d’exploitation de Google pour protéger leur vie privée. Quand un défaut aussi critique reste sans correctif pendant sept mois, c’est toute la crédibilité d’Android en matière de sécurité qui est entamée. Google contrôle le système, le Play Store, les mises à jour et les API réseau. C’est cette même entreprise qui pousse les utilisateurs à abandonner les APK tiers pour rester dans son écosystème vérifié. Mais quand son propre écosystème casse les outils de protection, la promesse de sécurité sonne creux. Les fournisseurs de VPN n’ont pas accès aux couches système nécessaires pour corriger ce bug eux-mêmes. Seul Google peut le faire. Et Google ne le fait pas.
Lire plus d’articles sur DigiTechnologie :
– Terafab, le nouveau projet fou d’Elon Musk, cliquez-ici
– Utiliser une clé Rubber Ducky pour du pentest, cliquez-ici
– La France arrête de travailler avec Teams et Zoom, cliquez-ici