Vulnérabilité critique dans Google Chrome : comment protéger votre navigateur ?

Petit réveil brutal pour les 2 milliards d’utilisateurs de Google Chrome : le CERT-FR vient de publier un avis de sécurité signalant une vulnérabilité permettant à un attaquant de « provoquer un problème de sécurité non spécifié par l’éditeur ». Autrement dit, personne ne sait encore exactement ce que le bug peut faire, mais il est déjà exploitable. Place au mode veille renforcée.

Que s’est-il passé le 27 août 2025 ?

Dans son bulletin CERTFR-2025-AVI-0732, l’équipe gouvernementale détaille l’existence d’une faille dans les versions de Chrome précédant la 128.0.6613.85. Si le constructeur n’a pas encore communiqué le CVSS ni la vectorisation exacte du bug, le simple fait qu’il figure dans la base nationale imposera un patch rapide. D’ici là, l’ouverture d’une simple page web piégée peut suffire à exécuter du code arbitraire ou à fuiter des données sensibles.

Pourquoi cette « non-spécification » est-elle inquiétante ?

Quand Google se contente d’un énigmatique « problème de sécurité non spécifié », il y a deux explications possibles :

1. La recherche est encore en cours et l’impact exact n’est pas cartographié.
2. L’éditeur attend la publication coordonnée (coordinated disclosure) pour éviter une vague d’exploitation massive.

Dans les deux cas, l’absence de détail n’enlève rien à la dangerosité : l’attaque peut être à distance, sans interaction utilisateur et potentiellement autonome si elle s’appuie sur des composants WebAssembly ou Mojo déjà présents dans Chromium.

Attaque typique à prévoir

En se fondant sur les précédents (CVE-2023-4863, CVE-2024-0519), le scénario probable ressemble à ceci :

• Campagne d’hameçonnage ciblant les salariés de PME-ETI via des liens « document de paie » ou « facture fournisseur ».
• Page web hébergeant un exploit drive-by : rien à télécharger, le simple rendu HTML suffit.
• Élévation de privilèges locale si Chrome tourne avec un compte administrateur (souvent le cas sur Windows familial).
• Déploiement d’un ransomware ou exfiltration silencieuse du coffre KeePass / mots de passe du gestionnaire intégré.

Même si vous ne fréquentez que des sites « safe », rappelez-vous qu’une bannière publicitaire mal référencée peut servir de détonateur.

Que faire immédiatement ?

Avant que la 128.0.6613.85 (ou supérieure) ne soit proposée, appliquez la règle des 4 M :

1. Mets à jour dès que possible (chrome://help pour forcer la recherche).
2. Murs : activez l’Isolated Site et le Sandbox strict via chrome://flags.
3. Modules : désactivez les extensions inutiles, surtout celles qui lisent vos onglets.
4. Moindre privilège : lancez Chrome avec un compte restreint ou sous macOS, validez l’option « verrouiller la navigation privée (Lock Down Mode) ».

Pour les paranoïaques professionnels, basculez temporairement sur Firefox ESR ou Brave (moteur Chromium mais versions en décalé). Les banques et les SSII commencent déjà à recommander cette parade le temps que le correctif soit audité.

Conclusion : réagir vite, mais sans paniquer

Chrome reste, statistiquement, le navigateur le mieux patché du marché ; néanmoins, le time-to-exploit décroît chaque année (moins de 48 h entre la publication d’un advis et les premières campagnes). En appliquant les mises à jour dès leur notification et en gardant un œil sur les avis du CERT-FR, vous réduisez déjà de 80 % la surface d’attaque. Partagez ce billet à vos proches : la cybersécurité se gagne aussi en réseau social.
Et vous ? Avez-vous déjà forcé la mise à jour de Chrome ou basculé vers un autre navigateur ? Racontez-nous votre méthode dans les commentaires !