Faille Chrome Edge : Google publie par erreur un exploit depuis 2022
Google a publié par erreur le code d’exploitation d’une faille critique dans Chromium, le moteur qui propulse Chrome, Edge, Opera, Brave et Vivaldi. La vulnérabilité, connue depuis 2022, n’a toujours pas été corrigée 40 mois plus tard. En attendant, le code d’exploitation est accessible à tous, et des millions d’utilisateurs sont potentiellement exposés.
Quoi : Google a publié par erreur un exploit pour une faille dans l’API Fetch de Chromium.
Impact : Chrome, Edge, Opera, Brave, Vivaldi, Arc et ChatGPT Atlas sont concernés. Firefox et Safari ne le sont pas.
Ancienneté : Signalée en 2022 par la chercheuse Lyra Rebane, non corrigée après 40 mois.
Risque : Connexion persistante avec le navigateur, surveillance de l’activité, proxy anonyme, botnet.
Détection : Très difficile. Peut se manifester par une fenêtre de téléchargement inhabituelle.
L’erreur de Google qui fait trembler Chromium
L’incident s’est produit lorsque les équipes de Chromium ont publié par mégarde le code d’exploitation d’une vulnérabilité non corrigée. Le code a été rapidement retiré, mais sur Internet, une fois publié, c’est publié pour toujours. Le code d’exploitation est déjà partagé et accessible.
La faille se situe dans l’API Fetch, qui permet aux sites web de télécharger des fichiers en arrière-plan. Si elle est exploitée, elle permet à un attaquant de :
Établir une connexion persistante avec le navigateur de la victime.
Surveiller l’activité en ligne de l’utilisateur sans qu’il s’en aperçoive.
Naviguer anonymement via le navigateur piraté comme un proxy.
Lancer des attaques par déni de service (DDoS) en utilisant des milliers de machines compromises.
L’exploitation ne nécessite qu’une visite sur un site malveillant avec un script JavaScript piégé. La vulnérabilité sert alors de porte dérobée pour un contrôle discret du navigateur. à plus grande échelle, elle pourrait créer un botnet de milliers d’appareils.
Élément
Détail
Signalée
2022 par Lyra Rebane, chercheuse indépendante
Statut
Partiellement reconnue comme grave par certains développeurs Chromium
Très difficile. Indices : fenêtre de téléchargement inhabituelle
Pourquoi cette faille n’est-elle pas corrigée depuis 2022 ?
La question est légitime. Quatre ans après le signalement, pourquoi aucun correctif ? La réponse réside dans la complexité du projet Chromium :
Chromium est open source : Des centaines de contributeurs, des priorités conflictuelles.
L’API Fetch est au cœur du navigateur : La corriger sans casser des milliers de sites web est un exercice délicat.
Classification divergente : Certains développeurs la jugent grave, d’autres non. Le consensus n’a jamais été atteint.
Pas de CVE officielle : Sans identifiant CVE, la faille n’a pas la visibilité nécessaire pour devenir prioritaire.
Le résultat : une vulnérabilité connue, partiellement comprise, non corrigée, et maintenant avec un exploit public. C’est le scénario cauchemardesque pour la sécurité des navigateurs.
🔴 Navigateurs vulnérables
Google Chrome : Le plus utilisé au monde. Tous les utilisateurs sont potentiellement exposés.
Microsoft Edge : Basé sur Chromium, même moteur, même vulnérabilité.
Opera, Brave, Vivaldi : Tous basés sur Chromium, tous concernés.
Arc, ChatGPT Atlas : Navigateurs « IA » récents, également touchés.
✅ Navigateurs protégés
Mozilla Firefox : Moteur Gecko, non affecté par les failles Chromium.
Apple Safari : Moteur WebKit, non affecté.
Tor Browser : Basé sur Firefox, protégé.
Que faire pour se protéger
En attendant un correctif qui tarde à venir, voici les mesures immédiates :
Utilisez Firefox ou Safari : Ces navigateurs ne sont pas basés sur Chromium et ne sont pas affectés par cette faille.
Évitez les sites suspects : La faille nécessite une visite sur un site malveillant avec un script piégé. Méfiez-vous des liens inattendus.
Surveillez les téléchargements inhabituels : Une fenêtre de téléchargement qui s’ouvre sans action de votre part peut être un signe d’exploitation.
Utilisez un bloqueur de scripts : Les extensions comme uBlock Origin ou NoScript peuvent bloquer les scripts malveillants sur les sites non fiables.
Mettez à jour Chrome : Même si cette faille spécifique n’est pas corrigée, les mises à jour de Chrome corrigent d’autres vulnérabilités critiques.
⚠️ 40 mois sans correctif : un signal d’alarme
Le fait que Google n’ait pas corrigé cette faille en 40 mois malgré son signalement par une chercheuse indépendante pose une question fondamentale : qui décide des priorités de sécurité dans Chromium ? Des millions d’utilisateurs dépendent de ce moteur sans savoir que certaines vulnérabilités connues restent ouvertes pendant des années.
Questions fréquentes
Cette faille affecte-t-elle Firefox ? ▼
Non. Firefox utilise le moteur Gecko, pas Chromium. Safari (WebKit) n’est pas non plus concerné.
Google a-t-il corrigé la faille ? ▼
Non. La faille est connue depuis 2022 et n’a toujours pas été corrigée après 40 mois. Le code d’exploitation a été publié par erreur par Google.
Comment savoir si mon navigateur est compromis ? ▼
La détection est très difficile. Surveillez les fenêtres de téléchargement inhabituelles, les performances anormales du navigateur, et les connexions réseau suspectes.
Pourquoi Google ne corrige-t-il pas cette faille ? ▼
La classification divergente entre développeurs Chromium, la complexité de l’API Fetch, et l’absence de CVE officielle expliquent l’absence de correctif après 40 mois.
Alexi Tauzin🛡️ Éditeur & Expert Cyber
Fondateur d’alexitauzin.com, entrepreneur digital et spécialiste des technologies connectées. Il décrypte les enjeux de la souveraineté numérique, de la protection des données et de la sécurité informatique pour rendre la cyber-vigilance accessible à tous.
Nous utilisons des cookies pour vous offrir la meilleure expérience possible sur notre site et pour soutenir le travail de notre équipe. En acceptant les cookies, vous nous aidez à continuer à créer du contenu de qualité qui vous est utile. L’utilisation de ces cookies n’entraîne aucun coût supplémentaire pour vous. C’est une simple action de votre part, mais qui a un grand impact pour nous tous. Vous pouvez changer d'avis ou retirer votre consentement à tout moment via la Politique de confidentialité. Merci pour votre soutien et votre confiance.
Fonctionnel
Toujours activé
L’accès ou le stockage technique est strictement nécessaire dans la finalité d’intérêt légitime de permettre l’utilisation d’un service spécifique explicitement demandé par l’abonné ou l’utilisateur, ou dans le seul but d’effectuer la transmission d’une communication sur un réseau de communications électroniques.
Préférences
L’accès ou le stockage technique est nécessaire dans la finalité d’intérêt légitime de stocker des préférences qui ne sont pas demandées par l’abonné ou l’internaute.
Statistiques
Le stockage ou l’accès technique qui est utilisé exclusivement à des fins statistiques.Le stockage ou l’accès technique qui est utilisé exclusivement dans des finalités statistiques anonymes. En l’absence d’une assignation à comparaître, d’une conformité volontaire de la part de votre fournisseur d’accès à internet ou d’enregistrements supplémentaires provenant d’une tierce partie, les informations stockées ou extraites à cette seule fin ne peuvent généralement pas être utilisées pour vous identifier.
Marketing
L’accès ou le stockage technique est nécessaire pour créer des profils d’internautes afin d’envoyer des publicités, ou pour suivre l’utilisateur sur un site web ou sur plusieurs sites web ayant des finalités marketing similaires.
