Les failles de sécurité dans nos navigateurs sont inévitables. La plupart du temps, elles sont détectées et corrigées en interne avant même d’être exploitées. Mais dans certains cas, elles sont découvertes trop tard, après avoir déjà servi à des cyberattaques. C’est précisément ce qui s'est passé avec cette nouvelle vulnérabilité critique qui touche Google Chrome.

Comme le souligne le média spécialisé Frandroid, il s’agit de la première faille "zero day" recensée en 2026 pour le navigateur de Google, après huit cas similaires recensés en 2025. Une situation suffisamment grave pour pousser l’entreprise à déployer un correctif en urgence.

Une faille activement exploitée sur Google Chrome

La vulnérabilité a été initialement repérée par un chercheur en cybersécurité externe. Elle se situe dans CSSFontFeatureValuesMap, un composant interne du moteur de rendu Chromium chargé de gérer certaines fonctionnalités typographiques avancées du web.

Techniquement, il s’agit d’un bug d’invalidation d’itérateur, aussi appelé faille de type "use-after-free". En clair, le navigateur continue d’utiliser une zone mémoire après que celle-ci a été supprimée ou réorganisée. Résultat : un pirate peut manipuler la mémoire de manière imprévisible.

Cette brèche permet notamment :

• de provoquer des plantages du navigateur ;
• d’altérer l’affichage des pages ;
• d’exécuter des comportements imprévus ;
• de prendre le contrôle du navigateur.

Le plus inquiétant ? L’exploitation est relativement simple. Pour piéger un utilisateur, il suffit de l’attirer vers un site web spécialement conçu à cet effet. Le code CSS de la page (celui qui gère son apparence) peut être modifié de manière malveillante. Une fois la page chargée, le code exploite la faille pour manipuler la mémoire du navigateur. Des attaques basées sur ce procédé ont déjà été observées, ce qui confirme que la vulnérabilité est activement exploitée.

Conformément à sa politique de sécurité, Google n’a pas communiqué de détails supplémentaires sur ces attaques afin d’éviter d’encourager d’autres exploitations.

Le correctif à installer immédiatement sur Google Chrome

Pour colmater la brèche, Google a déployé une mise à jour d’urgence :

• Windows et macOS : version 145.0.7632.75/76
• Linux : version 144.0.7559.75

Le déploiement est progressif et peut s’étaler sur plusieurs jours, voire plusieurs semaines selon les régions et les appareils.

Attention : Google précise que des travaux supplémentaires sont encore nécessaires pour supprimer totalement la faille. Néanmoins, le correctif actuellement disponible suffit à protéger les utilisateurs contre les attaques connues.

Comment vérifier si votre navigateur Chrome est à jour ?

Normalement, à moins de les avoir désactivées, les mises à jour s'effectuent automatiquement sur Google Chrome. Pour vérifier que vous disposez bien de la dernière version disponible, et ainsi savoir si vous êtes protégé :

• Cliquez sur les trois points verticaux en haut à droite du navigateur ;
• Rendez-vous dans Aide ;
• Cliquez sur "À propos de Google Chrome".

Le navigateur vérifiera automatiquement si une nouvelle mise à jour est disponible, et l’installera si nécessaire. Un redémarrage pourra être demandé pour finaliser l’installation.

Dans un contexte où les cyberattaques se multiplient et deviennent de plus en plus sophistiquées, maintenir son navigateur à jour reste l’un des gestes les plus simples et les plus efficaces pour se protéger. Si vous utilisez Google Chrome, ne tardez pas : cette mise à jour est indispensable.

En complément, vous pouvez également vous reposer sur SFR Cybersécurité pour protéger vos équipements. Il s’agit d’une solution pensée pour vos smartphones, tablettes et ordinateurs afin de vous permettre de naviguer sur Internet en toute tranquillité. Arnaque en ligne, phishing, fuite de données ou encore vol d’identité : repoussez toutes les cybermenaces avec SFR Cybersécurité, pour seulement 5€/mois sans engagement.

Source : Frandroid