Google lance une mise à jour d'urgence pour Chrome 142 pour corriger plusieurs vulnérabilités critiques

Théophane Villedieu

Google a déployé une mise à jour d’urgence pour son navigateur Chrome, version 142, afin de corriger une série de graves vulnérabilités à exécution de code à distance (RCE) qui pourraient permettre aux attaquants de prendre le contrôle des systèmes affectés. Cette mise à jour, publiée le 5 novembre 2025, est distribuée progressivement sur toutes les plateformes de bureau (Windows, macOS et Linux) ainsi que sur les appareils Android via Google Play et le mécanisme de mise à jour intégré de Chrome. Dans le paysage actuel de la cybersécurité, où les menaces évoluent rapidement, cette mise à jour d’urgence souligne l’importance cruciale de maintenir ses logiciels à jour pour se protéger contre les attaques potentiellement dévastatrices.

La dernière mise à jour corrige cinq failles de sécurité distinctes, trois étant classées comme de gravité élevée en raison de leur potentiel pour la corruption de mémoire et l’exécution de code à distance. Parmi celles-ci, le problème le plus critique est CVE-2025-12725, une faille découverte dans WebGPU, l’interface de traitement graphique de Chrome. Cette vulnérabilité, causée par une erreur d’écriture hors limites, pourrait permettre à du code malveillant d’écraser la mémoire système cruciale et d’exécuter des commandes arbitraires. Un chercheur en sécurité anonyme a découvert CVE-2025-12725 le 9 septembre 2025, et Google a restreint les détails techniques de l’exploitation pour empêcher les attaquants de l’exploiter avant que la plupart des utilisateurs aient appliqué la mise à jour.

Les vulnérabilités les plus critiques : CVE-2025-12725

La vulnérabilité CVE-2025-12725 représente un risque considérable pour les utilisateurs de Chrome en raison de sa localisation dans WebGPU, une technologie relativement nouvelle permettant aux applications web d’accéder directement au GPU de l’appareil. Cette faille pourrait être exploitée pour exécuter du code arbitraire sur le système de la victime, ce qui donnerait à un attaquant un contrôle quasi total sur l’appareil. Selon les évaluations internes de Google, cette vulnérabilité a reçu un score CVSS 3.1 de 8.8, ce qui la classe comme une menace sérieuse nécessitant une action immédiate.

Dans la pratique, cette vulnérabilité pourrait être exploitée par des acteurs malveillants pour distribuer des rançongiciques, voler des informations sensibles ou transformer des appareils en bots dans des réseaux de zombies. La nature de la faille, liée à une gestion incorrecte de la mémoire dans le composant graphique, signifie qu’elle pourrait être déclenchée simplement par le chargement d’une page web spécialement conçue, sans nécessiter d’interaction supplémentaire de l’utilisateur. C’est précisément ce type de vulnérabilité « zéro-click » qui constitue l’une des menaces les plus dangereuses dans l’écosystème actuel de la cybersécurité.

Google a adopté une approche responsable en limitant la divulgation technique complète de cette vulnérabilité jusqu’à ce que la majorité des utilisateurs ait appliqué la mise à jour. Cette pratique, connue sous le nom de « politique de divulgération responsable », est devenue essentielle dans le paysage actuel où les outils d’exploitation sont largement disponibles sur les marchés souterrains. En restreignant temporairement ces informations, Google réduit la fenêtre d’opportunité pour les attaquants potentiels tout en donnant aux utilisateurs le temps nécessaire pour se protéger.

Autres risques élevés : CVE-2025-12726 et CVE-2025-12727

Deux autres vulnérabilités de haute gravité ont également été corrigées par cette mise à jour. CVE-2025-12726, signalée par le chercheur Alessandro Ortiz le 25 septembre, implémente une mise en œuvre inappropriée dans le composant Views de Chrome, la partie responsable de la gestion de l’interface utilisateur du navigateur. Cette faille pourrait permettre à un attaquant de manipuler l’interface du navigateur et d’exécuter du code malveillant dans le contexte du navigateur, ce qui pourrait conduire à des fuites de données ou à l’usurpation de session.

Par ailleurs, CVE-2025-12727, identifiée par le chercheur 303f06e3 le 23 octobre, affecte le moteur JavaScript V8 de Chrome, le cœur de l’environnement d’exécution et des performances du navigateur. Cette vulnérabilité est particulièrement préoccupante car le moteur V8 est un élément fondamental du navigateur Chrome et est utilisé dans de nombreux autres contextes, y compris les serveurs Node.js. Une faille dans ce composant pourrait avoir des conséquences bien au-delà du simple navigateur web.

Selon Google, ces deux vulnérabilités ont reçu des scores CVSS 3.1 de 8.8, indiquant un risque direct pour les utilisateurs. Dans le contexte français, où de nombreuses entreprises et administrations publiques utilisent Chrome comme navigateur principal, ces failles représentaient une menace sérieuse pour la sécurité des données sensibles. La mise à jour rapide de Google constitue une réponse appropriée à ces menaces potentiellement dévastatrices.

Implications pour les entreprises

Pour les organisations, ces vulnérabilités soulèvent des questions importantes concernant la gestion des risques liés aux logiciels. Dans un environnement où les employés utilisent régulièrement des navigateurs pour accéder à des applications sensibles et des données internes, une seule faille non corrigée pourrait compromettre toute une infrastructure. Les responsables de la sécurité informatique doivent donc mettre en place des politiques strictes de gestion des mises à jour et de surveillance de la sécurité du navigateur.

Problèmes de l’Omnibox : CVE-2025-12728 et CVE-2025-12729

Aux côtés de ces correctifs critiques, Google a adressé deux vulnérabilités de gravité moyenne dans l’Omnibox de Chrome, la barre de recherche et d’adresse combinée. CVE-2025-12728, rapportée par Hafiizh, et CVE-2025-12729, découverte par Khalil Zhani, découlent toutes deux de mises en œuvre inappropriées qui pourraient conduire à une exposition de données ou à une manipulation de l’interface utilisateur. Bien que moins critiques que les failles WebGPU ou V8, ces problèmes justifient toujours des mises à jour rapides des utilisateurs pour prévenir toute potentielle mauvaise utilisation.

L’Omnibox est l’une des fonctionnalités les plus fréquemment utilisées de Chrome, servant de point d’entrée pour la navigation web, la recherche et même l’exécution de commandes internes. Une vulnérabilité dans cette composante pourrait permettre à un attaquant de manipuler les URL affichées, de rediriger les utilisateurs vers des sites malveillants ou d’intercepter les informations saisies par les utilisateurs. Dans le contexte actuel où l’hameçonnage (phishing) reste l’un des vecteurs d’attaque les plus courants, ces vulnérabilités représentent un risque non négligeable.

Selon les notes de publication officielles de Google, les versions concernées sont :

  • Bureau (Windows, macOS, Linux) : version 142.0.7444.134/.135
  • Android : version 142.0.7444.138

Google a souligné que la version Android contient les mêmes correctifs de sécurité que ses homologues de bureau. Le déploiement se poursuivra au cours des prochaines jours et semaines dans le cadre du processus de déploiement progressif de l’entreprise. Cette approche en plusieurs vagues permet à Google de surveiller la stabilité de la mise à jour et de résoudre rapidement tout problème émergent avant qu’elle ne soit déployée auprès de l’ensemble de la base d’utilisateurs.

Recommandations pour les utilisateurs et les entreprises

Il est fortement recommandé que tous les utilisateurs mettent à jour Chrome immédiatement. Les utilisateurs de bureau doivent se rendre dans Paramètres → À propos de Chrome pour vérifier s’ils disposent de la version 142.0.7444.134 ou ultérieure, tandis que les utilisateurs Android peuvent vérifier les mises à jour via le Google Play Store. L’activation des mises à jour automatiques est vivement conseillée pour garantir que les futurs correctifs soient appliqués dès leur publication.

Bien que les deux vulnérabilités de l’Omnibox (CVE-2025-12728 et CVE-2025-12729) soient moins critiques, retarder les mises à jour peut encore exposer les utilisateurs à des risques d’hameçonnage ou d’injection via des interfaces de navigateur manipulées. Dans un contexte où les acteurs malveillants exploitent continuellement les vulnérabilités connues, la promptitude de la mise à jour reste la meilleure défense.

Pour les entreprises, il est crucial d’implémenter une stratégie de gestion des correctifs qui inclut :

  1. Une surveillance active des annonces de sécurité des fournisseurs
  2. Un processus testé pour valider les mises à jour avant leur déploiement à grande échelle
  3. Des outils de gestion centralisée des navigateurs pour garantir la conformité
  4. Une sensibilisation continue des employés aux risques de sécurité
  5. Des procédures de sauvegarde régulières pour minimiser l’impact d’une éventuelle compromission

Étapes de mise à jour pour les utilisateurs finaux

Voici les étapes concrètes pour mettre à jour Chrome sur différentes plateformes :

  • Sur Windows et macOS :

    1. Ouvrez Chrome
    2. Cliquez sur les trois points dans le coin supérieur droit
    3. Sélectionnez “Aide” -> “À propos de Google Chrome”
    4. Le navigateur vérifiera automatiquement les mises à jour et les installera si disponibles
    5. Redémarrez Chrome si nécessaire

  • Sur Linux :

    1. Ouvrez un terminal
    2. Mettez à jour votre liste de paquets : sudo apt update (pour Debian/Ubuntu)
    3. Mettez à jour Chrome : sudo apt upgrade google-chrome-stable
    4. Ou utilisez le gestionnaire de mises à jour de votre distribution

  • Sur Android :

    1. Ouvrez le Google Play Store
    2. Appuyez sur le menu hamburger (trois lignes horizontales)
    3. Sélectionnez “Mes applications et jeux”
    4. Recherchez “Chrome” dans la liste des applications mises à jour
    5. Appuyez sur “Mettre à jour”

Bonnes pratiques de sécurité pour les navigateurs

Au-delà de la mise à immédiate, plusieurs pratiques peuvent aider à renforcer la sécurité de votre navigation web :

  1. Utilisez des extensions de sécurité fiables : Des bloqueurs de publicité et de traqueurs peuvent réduire les risques d’exposition aux vulnérabilités via des publicités malveillantes ou des scripts tiers.

  2. Adoptez le principe du moindre privilège : Ne naviguez pas avec des droits d’administrateur sur vos systèmes, et utilisez des comptes utilisateur standard pour les activités quotidiennes.

  3. Activez la sandboxing : Chrome utilise déjà l’isolation des processus pour limiter la portée d’une éventuelle compromission, mais des configurations supplémentaires peuvent renforcer cette protection.

  4. Soyez vigilant concernant les téléchargements : Vérifiez toujours la source des fichiers que vous téléchargez et utilisez des antivirus pour scanner les téléchargements suspects.

  5. Maintenez tous vos logiciels à jour : Les vulnérabilités ne se limitent pas aux navigateurs ; assurez-vous que votre système d’exploitation, vos plugins et autres applications sont également à jour.

Dans le contexte français, l’ANSSI (Agence nationale de la sécurité des systèmes d’information) recommande également aux organisations de mettre en place une politique de gestion rigoureuse des correctifs et de former régulièrement leurs employés aux bonnes pratiques de sécurité. La cybersécurité n’est pas seulement une question de technologie, mais aussi de sensibilisation et de processus.

« Dans l’environnement actuel, où les vulnérabilités sont découvertes et exploitées à un rythme sans précédent, la promptitude de la mise à jour n’est plus une option mais une nécessité absolue pour toute organisation souhaitant protéger ses données et sa continuité opérationnelle. » — Chef de la sécurité informatique d’une grande entreprise française

Conclusion

La mise à jour d’urgence de Google Chrome 142 constitue une réponse cruciale à plusieurs vulnérabilités sérieuses, notamment CVE-2025-12725 dans WebGPU, qui représente un risque majeur pour les utilisateurs. Dans un paysage cybermenaçant en constante évolution, où les acteurs malveillants exploitent rapidement les failles de sécurité, il est impératif que tous les utilisateurs appliquent cette mise à jour sans délai.

Google a démontré une approche responsable de la sécurité en limitant temporairement la divulgation technique complète de ces vulnérabilités, permettant ainsi à la majorité des utilisateurs de se protéger avant que les détails ne soient rendus publics. Cette pratique, bien que controversée pour certains, est devenue nécessaire face à la prolifération des outils d’exploitation sur les marchés souterrains.

Pour les utilisateurs finaux, l’action immédiate est claire : mettez à Chrome dès que possible et activez les mises à jour automatiques pour vous assurer de rester protégé contre les futures menaces. Pour les entreprises, cette mise à jour souligne l’importance d’une stratégie de gestion des correctifs robuste et d’une surveillance continue de la sécurité des logiciels.

Alors que la cybersécurité devient un enjeu stratégique pour les organisations de toutes tailles, la vigilance reste la meilleure défense. Les vulnérabilités Chrome comme celles-ci nous rappellent que dans le monde numérique d’aujourd’hui, la sécurité n’est jamais acquise mais nécessite une attention constante et proactive.