Google vient de commettre une sérieuse bourde. Par inadvertance, le géant de Mountain View a mis en ligne le code d’exploitation d’une vulnérabilité identifiée dans Chromium, le moteur commun à la grande majorité des navigateurs web, y compris Chrome. Découverte il y a 29 mois, la faille n’a toujours pas été corrigée. En d’autres termes, Google vient de donner tous les outils aux pirates qui voudraient exploiter la faille pour lancer des cyberattaques.
Notez que Lyra Rebane, chercheuse en cybersécurité, a signalé ce problème à Google dès décembre 2022. La faille a été approuvée par Google, mais elle est restée sans correctif pendant plus de deux ans. La vulnérabilité a été baladée entre différentes équipes internes sans jamais être vraiment résolue.
À lire aussi : Chrome « cache » peut-être une IA sur votre ordinateur, et Google l’assume
Faille de sécurité et programme malveillant
La faille se situe dans Browser Fetch API, une interface intégrée à Chromium qui est programmée pour télécharger des fichiers volumineux en arrière-plan, comme de longues vidéos. En exploitant la faille dans cette interface, un attaquant peut injecter un mini-programme JavaScript sur l’ordinateur de sa cible. L’opération se déroule lorsque la victime se rend sur le site web conçu par les bons soins du cybercriminel. Il suffit de cliquer sur une page malveillante pour que le programme Javascript malveillant arrive à ses fins. Une fois le programme injecté, il va continuer à tourner dans le navigateur, même après sa fermeture, et même, dans certains cas, après le redémarrage de l’appareil.
Une fois compromis, le navigateur de la victime peut être utilisé pour lancer des attaques par déni de service (DDoS) ou relayer du trafic malveillant. Pire, le navigateur peut espionner tout ce que vous faites sur Internet, et potentiellement collecter des données sensibles, comme des identifiants et des mots de passe.
À lire aussi : Désinstallez vite ces 108 extensions Chrome, ce sont de dangereux malwares russes
Des navigateurs aspirés dans un botnet
Quatre ans après avoir prévenu Google, la chercheuse Lyra Rebane estime que la vulnérabilité permet de « transformer des navigateurs en membres d’un botnet ». Selon elle, les personnes tombées dans le piège ne se rendent pas compte « que du JavaScript est exécuté à distance sur leur appareil », ce qui permet à l’attaque de passer sous les radars.
L’erreur de Google
C’est le système de suivi des bugs de Chromium qui a divulgué la faille avant qu’un correctif ne puisse être déployé. Le système de suivi retire automatiquement les restrictions d’accès sur un ticket lorsqu’il a été fermé depuis plus de 14 semaines. Or, le 12 février 2026, le bug avait été marqué comme « corrigé » dans le système. De facto, le système a estimé que tous les détails techniques pouvaient être divulgués.
Malheureusement, aucun correctif n’avait en vérité été implémenté par les équipes de Google. Le 20 mai, les restrictions ont été levées automatiquement, mais, comme l’a remarqué Lyra Rebane, la faille était toujours béante. Selon ses expérimentations, la faille fonctionnait toujours parfaitement sur Chrome Dev 150 et Microsoft Edge 148. Rebane précise que la faille ne permet pas de contourner les protections de sécurité du navigateur. Un attaquant ne peut pas accéder à vos e-mails, vos fichiers personnels ou votre système d’exploitation en exploitant la vulnérabilité. Les risques sont cantonnés
Des millions d’utilisateurs menacés
L’ampleur du problème est considérable. En effet, Chromium est le socle commun sur lequel reposent Chrome, Microsoft Edge, Brave, Opera, Vivaldi et Arc, soit une grande partie du marché des navigateurs web. Des millions d’utilisateurs sont donc potentiellement exposés, sans en avoir conscience. Puisqu’il n’existe pas encore de correctif, il n’y a rien que vous puissiez faire pour vous protéger. Pour le moment, Google n’a pas encore réagi publiquement. En attendant qu’une mise à jour vienne corriger le tir, on vous recommande d’éviter les sites web suspects ou méconnus.
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp.
Source : Ars Technica
