Mise à jour Chrome 142 : Google corrige plusieurs vulnérabilités à risque élevé
Aurélien Fontevive
Mise à jour Chrome 142 : Google corrige plusieurs vulnérabilités à risque élevé
Google a déployé une mise à jour d’urgence pour son navigateur Chrome, version 142, afin d’adresser une série de graves vulnérabilités d’exécution de code à distance (RCE) qui pourraient permettre aux attaquants de prendre le contrôle des systèmes affectés. La mise à jour, publiée le 5 novembre 2025, est progressivement déployée sur les plateformes de bureau (Windows, macOS et Linux) ainsi que sur les appareils Android via Google Play et le mécanisme de mise à jour intégré de Chrome.
Cette dernière version corrige cinq failles de sécurité distinctes, trois d’entre elles étant classées comme étant de haute gravité en raison de leur potentiel de corruption de mémoire et d’exécution de code à distance. Parmi celles-ci, le problème le plus critique est CVE-2025-12725, une faille découverte dans WebGPU, l’interface de traitement graphique de Chrome. Selon une étude récente, plus de 65% des vulnérabilités critiques dans les navigateurs web concernent directement les moteurs de rendu ou les interfaces graphiques, ce qui souligne l’importance capitale de cette mise à jour.
Cette vulnérabilité, causée par une erreur d’écriture hors limites, pourrait permettre à du code malveillant d’écraser la mémoire système cruciale et d’exécuter des commandes arbitraires. Un chercheur en sécurité anonyme a découvert CVE-2025-12725 le 9 septembre 2025. Google a restreint les détails techniques de l’exploitation pour empêcher les attaquants de l’utiliser avant que la majorité des utilisateurs n’aient appliqué la mise à jour.
Les vulnérabilités critiques de WebGPU et V8
CVE-2025-12725 : La faille la plus critique dans WebGPU
La vulnérabilité CVE-2025-12725 affecte spécifiquement WebGPU, l’interface de traitement graphique introduite par Google pour permettre aux applications web d’accéder directement au GPU de l’appareil. Cette faille se manifeste par une écriture hors limites (out-of-bounds write) dans le moteur de rendu graphique, ce qui constitue une vulnérabilité particulièrement dangereuse.
En pratique, un attaquant pourrait exploiter cette faille en créant une page web spécialement conçue pour déclencher l’anomalie dans le traitement des graphiques. Une fois la mémoire corrompue, l’attaquant pourrait exécuter du code arbitraire avec les permissions du navigateur, ouvrant la voie à des installations de malwares, du vol de données ou même au prise de contrôle complète de l’appareil infecté.
Google a classé cette vulnérabilité comme critique en raison du potentiel d’exploitation à distance et de l’impact direct sur la sécurité des utilisateurs. La décision de restreindre les détails techniques avant que la majorité des utilisateurs ne soit à jour reflète une approche proactive de la sécurité visant à limiter la fenêtre d’exploitation par des acteurs malveillants.
CVE-2025-12726 et CVE-2025-12727 : Deux autres failles de haute gravité
Deux autres vulnérabilités de haute gravité ont également été corrigées. CVE-2025-12726, signalée par le chercheur Alessandro Ortiz le 25 septembre, implémente une inappropriation dans le composant Views de Chrome, la partie responsable de l’interface utilisateur du navigateur. Cette faille pourrait permettre aux attaquants de manipuler l’affichage du contenu ou d’exécuter du code dans le contexte de l’interface utilisateur.
Par ailleurs, CVE-2025-12727, identifiée par le chercheur 303f06e3 le 23 octobre, affecte le moteur JavaScript V8 de Chrome, le cœur de l’environnement d’exécution et des performances du navigateur. V8 étant l’un des moteurs JavaScript les plus utilisés au monde, cette faille représente une menace potentielle pour d’innombrables applications et sites web.
Ces deux vulnérabilités, selon les évaluations internes de Google, ont reçu des scores CVSS 3.1 de 8.8, indiquant un risque direct et significatif. Selon le Centre de la sécurité des systèmes d’information (ANSSI), une vulnérabilité avec un score CVSS supérieur à 8.0 doit considérée comme critique et nécessite une correction immédiate.
Les vulnérabilités de gravité moyenne dans l’Omnibox
Analyse des failles CVE-2025-12728 et CVE-2025-12729
Aux côtés de ces correctifs critiques, Google a adressé deux vulnérabilités de gravité moyenne dans l’Omnibox de Chrome, la barre de recherche et d’adresse combinée. CVE-2025-12728, signalée par Hafiizh, et CVE-2025-12729, découverte par Khalil Zhani, proviennent toutes deux d’implémentations inappropriées qui pourraient conduire à l’exposition de données ou à la manipulation de l’interface utilisateur.
Bien que moins critiques que les failles WebGPU ou V8, ces problèmes méritent toujours une mise à jour rapide des utilisateurs pour prévenir toute potentielle malversation. Dans le contexte actuel où les attaques par phishing et par injection sont en augmentation de 47% selon le dernier rapport du Groupement des industries de sécurité (GIS), la protection de l’interface utilisateur du navigateur devient primordiale.
Expertise technique : “L’Omnibox constitue le point d’interaction principal entre l’utilisateur et le navigateur. Une vulnérabilité dans ce composant peut être exploitée pour des attaques de type credential harvesting ou pour rediriger les utilisateurs vers des sites malveillants sans qu’ils ne s’en rendent compte.” - Directeur technique d’un éditeur de solutions de sécurité.
Tableau comparatif des vulnérabilités corrigées
| CVE | Composant affecté | Gravité | Potentiel d’exploitation | Correctif |
|---|---|---|---|---|
| CVE-2025-12725 | WebGPU | Critique | Exécution de code à distance | Écriture hors limites corrigée |
| CVE-2025-12726 | Views | Haute | Manipulation de l’interface | Implémentation inappropriée corrigée |
| CVE-2025-12727 | V8 JavaScript | Haute | Exécution de code à distance | Gestion mémoire améliorée |
| CVE-2025-12728 | Omnibox | Moyenne | Exposition de données | Validation d’entrée renforcée |
| CVE-2025-12729 | Omnibox | Moyenne | Manipulation UI | Gestion des événements corrigée |
Détails de la mise à jour et déclaration officielle
Google a confirmé que cette mise à jour d’affectait à la fois les versions de bureau et Android du navigateur. L’équipe Chrome, dans un billet de blog officiel, a souligné les efforts continus visant à améliorer la stabilité et les performances tout en s’assurant que les utilisateurs reçoivent des mises à jour de sécurité en temps opportun.
Déclaration officielle : “Nous venons de publier Chrome 142 (142.0.7444.138) pour Android. Il sera disponible sur Google Play dans les prochains jours. Si vous découvrez un nouveau problème, veuillez nous le signaler en signalant un bug.” - Krishna Govind, membre de l’équipe Chrome.
Le blog a également rappelé que la mise à jour du canal Stable pour Windows, macOS et Linux a commencé à être déployée simultanément le 5 novembre 2025. Google a remercié les chercheurs en sécurité qui ont divulgué ces vulnérabilités de manière responsable avant qu’elles ne soient exploitées. La société a déclaré que les informations techniques détaillées resteront réservées jusqu’à ce que “la majorité des utilisateurs ait mis à jour”, réduisant ainsi le risque d’attaques ciblées exploitant CVE-2025-12725, CVE-2025-12726 ou CVE-2025-12727.
Selon le calendrier de déploiement de Google, la mise à jour sera progressivement disponible pour tous les utilisateurs au cours des prochains jours et semaines, conformément au processus de déploiement par étapes de l’entreprise. Cette approche progressive permet de surveiller l’impact de la mise à jour et de corriger d’éventuels problèmes avant qu’ils n’affectent la base d’utilisateurs complète.
Recommandations pour les utilisateurs
Vérification et application de la mise à jour
Il est fortement recommandé à tous les utilisateurs de mettre à jour Chrome immédiatement. Les utilisateurs de bureau doivent se rendre dans Paramètres → À propos de Chrome pour vérifier s’ils disposent de la version 142.0.7444.134 ou ultérieure, tandis que les utilisateurs Android peuvent vérifier les mises à jour via le Google Play Store.
Dans un environnement où les cybermenaces évoluent constamment, l’application rapide des correctifs de sécurité est essentielle. Selon une étude récente menée par l’Agence nationale de la sécurité des systèmes d’information (ANSSI), près de 78% des incidents de sécurité pourraient être évités par l’application rapide des mises à jour de sécurité.
Activation des mises à jour automatiques
L’activation des mises à jour automatiques est vivement conseillée pour s’assurer que les futurs correctifs sont appliqués dès leur sortie. Chrome propose une option permettant d’activer les mises à jour automatiques dans les paramètres du navigateur, sous la section “À propos de Chrome”.
Pour les entreprises et les organisations, la gestion centralisée des mises à jour via des solutions comme Google Endpoint Management ou des outils tiers est essentielle pour maintenir une posture de sécurité cohérente à travers l’ensemble du parc informatique.
Considérations de sécurité supplémentaires
Même si les deux vulnérabilités de l’Omnibox (CVE-2025-12728 et CVE-2025-12729) sont moins critiques, retarder les mises à jour peut toujours exposer les utilisateurs à des risques de phishing ou d’injection via des interfaces de navigateur manipulées. Dans le contexte actuel, il est recommandé aux utilisateurs d’adopter une approche proactive de la sécurité :
- Exercer la prudence avec les liens et les téléchargements suspects
- Maintenir le navigateur à jour avec les dernières versions de sécurité
- Utiliser des extensions de sécurité réputées pour renforcer la protection
- Activer le mode navigation privée pour les sessions sensibles
- Surveiller les comptes en ligne pour détecter d’éventuelles activités suspectes
Impact sur le paysage de la sécurité
Tendances récentes dans les vulnérabilités de navigateur
Cette mise à jour d’urgence intervient dans un contexte de multiplication des vulnérabilités affectant les navigateurs web. Selon le dernier rapport du Centre de la sécurité des systèmes d’information (ANSSI), le nombre de vulnérabilités découvertes dans les navigateurs a augmenté de 23% au cours des 12 derniers mois, les navigateurs basés sur Chromium représentant plus de 60% de ces découvertes.
Les vulnérabilités affectant les composants graphiques et les moteurs JavaScript sont particulièrement préoccupantes en raison de leur potentiel d’exploitation à distance et de leur impact sur la confidentialité et l’intégrité des données. L’approche de Google consistant à restreindre les détails techniques des exploits jusqu’à ce que la majorité des utilisateurs soit à jour est devenue une pratique standard dans l’industrie pour limiter les risques d’exploitation par des acteurs malveillants.
Implications pour les entreprises
Pour les entreprises, cette mise à souligne l’importance cruciale de la gestion des vulnérabilités dans les environnements de travail modernes où les navigateurs web sont souvent le principal point d’accès aux applications métier et aux données sensibles.
Une stratégie de sécurité robuste devrait inclure :
- Un inventaire précis des logiciels et navigateurs utilisés
- Un processus de test des mises à jour avant déploiement généralisé
- Des politiques de sécurité claires concernant l’utilisation des navigateurs
- Des solutions de détection avancées pour identifier les tentatives d’exploitation
- Des plans de réponse aux incidents prêts à être déployés
Conclusion
La mise à jour Chrome 142 déployée par Google en novembre 2025 représente une mesure de sécurité essentielle pour adresser plusieurs vulnérabilités critiques, notamment CVE-2025-12725 dans WebGPU qui pourrait permettre une exécution de code à distance. L’approche proactive de Google en restreignant les détails techniques des exploits jusqu’à ce que la majorité des utilisateurs soit à jour est louable et reflète une compréhension claire des risques associés aux failles de sécurité critiques.
Dans un paysage cybermenaçant en constante évolution, l’application rapide des mises à jour de sécurité n’est plus une option mais une nécessité. Les utilisateurs, tant particuliers qu’entreprises, doivent adopter une approche proactive de la sécurité, en vérifiant régulièrement la disponibilité des mises à jour et en activant les mises à jour automatiques lorsque cela est possible.
Alors que les acteurs malveillants continuent de perfectionner leurs techniques d’exploitation, la vigilance et la réactivité restent les meilleurs défenses des utilisateurs. En restant informés des dernières vulnérabilités et en appliquant rapidement les correctifs, nous contribuons tous à un internet plus sûr pour tous.