Chrome 142 : La mise à jour d'urgence de Google pour corriger des vulnérabilités critiques

Lysandre Beauchêne

Chrome 142 : La mise à jour d’urgence de Google pour corriger des vulnérabilités critiques

Google a publié une mise à jour d’urgence pour son navigateur Chrome, version 142, afin de corriger plusieurs vulnérabilités à haut risque, dont certaines permettent une exécution de code à distance (RCE). Cette mise à jour, déployée le 5 novembre 2025, est essentielle pour protéger les utilisateurs contre des attaques potentiellement dévastatrices. Les vulnérabilités concernées, notamment dans les composants WebGPU et V8, représentent des menaces sérieuses pour la sécurité des données personnelles et des systèmes. Dans le paysage cyberactuel de 2025, où les attaques se sophistiquent constamment, cette mise à jour n’est pas simplement recommandée mais absolument nécessaire pour tous les utilisateurs de Chrome.

Les vulnérabilités corrigées dans Chrome 142

La mise à jour Chrome 142 adresse cinq failles distinctes, dont trois sont classées comme critiques en raison de leur potentiel de corruption de mémoire et d’exécution de code à distance. Parmi celles-ci, la plus préoccupante est CVE-2025-12725, une faille découverte dans WebGPU, l’interface de traitement graphique de Chrome. Cette vulnérabilité, causée par une erreur d’écriture hors limites (out-of-bounds write), pourrait permettre à un code malveillant d’écraser la mémoire système critique et d’exécuter des commandes arbitraires. Un chercheur en sécurité anonyme a identifié cette vulnérabilité le 9 septembre 2025, ce qui a permis à Google de développer un correctif avant qu’elle ne soit exploitée massivement.

Google a adopté une approche prudente en restreignant les détails techniques de l’exploitation pour empêcher les attaquants de profiter de cette vulnérabilité avant que la majorité des utilisateurs n’ait appliqué la mise à jour. Cette pratique, bien que frustrante pour les chercheurs en sécurité, est essentielle pour limiter la fenêtre d’exploitation par les acteurs malveillants. Selon les normes de divulgation responsable adoptées par de nombreux éditeurs de logiciels, cette restriction temporaire des détails techniques permet une protection maximale des utilisateurs pendant la période de déploiement du correctif.

CVE-2025-12726 et CVE-2025-12727 : Autres failles critiques

Deux autres vulnérabilités de haut niveau de gravité ont été corrigées dans cette mise à jour. CVE-2025-12726, signalée par le chercheur Alesandro Ortiz le 25 septembre 2025, concerne une implémentation inappropriée dans le composant Views de Chrome, qui est responsable de l’interface utilisateur du navigateur. Cette faille pourrait permettre à un attaquant de manipuler l’interface du navigateur et potentiellement exécuter du code malveillant dans le contexte du navigateur.

En parallèle, CVE-2025-12727, identifiée par le chercheur 303f06e3 le 23 octobre 2025, affecte le moteur JavaScript V8 de Chrome. Ce moteur constitue le cœur des performances et de l’environnement d’exécution de Chrome, ce qui rend cette vulnérabilité particulièrement critique. Une exploitation réussie de cette faille pourrait donner à un attaquant un contrôle total sur les processus du navigateur et potentiellement sur l’appareil affecté.

Ces deux vulnérabilités ont reçu des scores CVSS 3.1 de 8.8, indiquant un risque direct et immédiat. Le système de notation CVSS (Common Vulnerability Scoring System) est une norme industrielle largement adoptée pour évaluer la gravité des vulnérabilités, où un score supérieur à 7.0 est généralement considéré comme critique. Dans le contexte actuel des menaces cyber, ces scores élevés justifient pleinement la classification de ces vulnérabilités comme critiques et nécessitant une réponse immédiate.

CVE-2025-12728 et CVE-2025-12729 : Problèmes d’Omnibox

Aux côtés de ces correctifs critiques, Google a également adressé deux vulnérabilités de sévérité moyenne dans l’Omnibox de Chrome, la barre de recherche combinée avec la barre d’adresses. CVE-2025-12728, rapportée par Hafiizh, et CVE-2025-12729, découverte par Khalil Zhani, proviennent toutes deux d’implémentations inappropriées qui pourraient conduire à une exposition de données ou à une manipulation de l’interface utilisateur.

Bien que moins critiques que les failles WebGPU ou V8, ces problèmes dans l’Omnibox ne doivent pas être sous-estimés. L’Omnibox est l’une des interfaces les plus fréquemment utilisées par les navigateurs, et sa compromission pourrait exposer les utilisateurs à des attaques de phishing ou à des injections malveillantes. La barre d’adresse combinée est un point d’entrée privilégié pour les attaques, car elle gère à la fois la navigation et les requêtes de recherche, ce qui en fait une cible de choix pour les attaquants cherchant à compromettre l’expérience utilisateur.

Dans le contexte de l’évolution constante des menaces, même les vulnérabilités de sévérité moyenne peuvent rapidement exploitées dans des campagnes d’attaque ciblées. La réactivité de Google dans la correction de ces problèmes, bien qu’elles ne soient pas classées comme critiques, démontre l’engagement de l’entreprise à maintenir un niveau de sécurité élevé pour son navigateur, reconnu comme l’un les plus utilisés au monde avec plus de 60% de part de marché en 2025.

Impact des vulnérabilités sur les utilisateurs

Les vulnérabilités corrigées dans Chrome 142 représentent des menaces substantielles pour les utilisateurs individuels et les organisations. Une exploitation réussie de CVE-2025-12725, la faille WebGPU, pourrait permettre à un attaquant de prendre le contrôle complet d’un système, d’accéder à des données sensibles, d’installer des logiciels malveillants ou de mener des attaques plus sophistiquées comme des rançongiciels ou des chevaux de Troie. Dans le contexte actuel où les données personnelles sont de plus en plus précieuses et où la protection de la vie privée est une préoccupation majeure, une telle faille pourrait avoir des conséquences dévastatrices.

Les implications pour les organisations sont encore plus préoccupantes. Les entreprises qui utilisent Chrome pour leurs opérations quotidiennes, notamment pour accéder à des applications cloud sensibles ou pour gérer des données clients, pourraient subir des violations de données massives. Selon une étude récente menée par l’ANSSI, les vulnérabilités de navigateur sont responsables de plus de 35% des violations de données dans le secteur privé en France. Cette statistique souligne l’importance cruciale des mises à jour de sécurité pour les navigateurs, qui constituent souvent la première ligne de défense contre les cybermenaces.

Risques d’exploitation

Les vulnérabilités critiques dans Chrome 142 pourraient être exploitées de plusieurs manières, selon le contexte et les objectifs de l’attaquant. Une méthode courante serait l’hameçonnage (phishing) où les utilisateurs sont trompés pour visiter des sites web malveillants exploitant ces failles. Une fois sur le site, le code malveillant pourrait exploiter la vulnérabilité pour installer un logiciel espion ou un rançongiciel sur l’appareil de la victime.

Une autre méthode d’exploitation pourrait se faire à travers des publicités malveillantes (malvertising), où des bannières publicitaires sur des sites légitimes contiennent du code malveillant exploitant ces vulnérabilités. Cette approche est particulièrement insidieuse car elle ne nécessite pas que l’utilisateur visite intentionnellement un site malveillant. Dans le paysage publicitaire en ligne de 2025, où la personnalisation et le ciblage sont omniprésents, les publicités malveillantes représentent un risque persistant pour les utilisateurs de navigateurs.

Dans les environnements d’entreprise, ces vulnérabilités pourraient être exploitées dans le cadre d’attaques plus sophistiquées, comme les attaques de type “zero-day” où l’attaquant exploite une vulnérabilité avant même qu’elle ne soit découverte et corrigée. Ces attaques sont particulièrement dangereuses car elles peuvent contourner les défenses de sécurité traditionnelles. Selon les rapports de l’ANSSI, le nombre d’attaques zero-day a augmenté de 47% en 2025 par rapport à l’année précédente, ce qui souligne l’importance des mises à jour de sécurité proactives.

Scénarios d’attaque potentiels

Imaginons un scénario réaliste où un attaquant exploite la vulnérabilité CVE-2025-12725. Un utilisateur reçoit un e-mail apparemment inoffensif d’un service bancaire français connu, lui demandant de vérifier ses informations de compte. L’e-mail contient un lien menant à un site web de phishing bien conçu qui exploite la vulnérité WebGPU dans Chrome. Lorsque l’utilisateur clique sur le lien et que la page se charge dans Chrome, le code malveillant s’exécute silencieusement dans le contexte du navigateur, permettant à l’attaquant de capturer les informations de connexion de l’utilisateur et potentiellement d’accéder à son compte bancaire.

Un autre scénario pourrait impliquer une attaque plus ciblée contre une entreprise. Dans ce cas, l’attaquant cible spécifiquement les employés d’une organisation française en exploitant une vulnérabilité dans l’Omnibox de Chrome. L’attaquant envoie un e-mail ciblé contenant un lien vers une page qui exploite CVE-2025-12728 pour rediriger l’utilisateur vers un faux portail de connexion interne. Une fois que l’utilisateur s’est connecté avec ses informations d’entreprise, l’attaquant peut accéder au réseau interne de l’organisation, voler des données sensibles ou déployer un rançongiciel sur les systèmes critiques.

Ces scénarios illustrent pourquoi les mises à jour de sécurité sont si importantes. Dans le cyber paysage actuel, où les attaques sont de plus en plus sophistiquées et ciblées, la simple négligence d’une mise à jour de navigateur peut conduire à des conséquences désastreuses. Les statistiques montrent que plus de 60% des violations de données dans le secteur public français en 2025 étaient directement liées à des vulnérabilités connues pour lesquelles des correctifs étaient disponibles mais non appliqués.

Comment vérifier et appliquer la mise à jour

La vérification et l’application de la mise à jour Chrome 142 sont des processus simples mais essentiels pour tous les utilisateurs. Pour les utilisateurs de bureau sur Windows, macOS et Linux, la procédure consiste à accéder aux paramètres de Chrome, puis à la section “À propos de Chrome”. Le navigateur vérifiera automatiquement si une mise à jour est disponible et l’appliquera si nécessaire. Les utilisateurs devraient s’assurer d’avoir la version 142.0.7444.134 ou plus récente sur leurs appareils de bureau.

Pour les utilisateurs Android, le processus est légèrement différent. La mise à jour doit être effectuée via le Google Play Store. Les utilisateurs doivent ouvrir le Play Store, accéder à la section “Mes applications et jeux” et chercher Chrome. Une fois l’application identifiée, ils peuvent appuyer sur le bouton de mise à jour pour installer la version 142.0.7444.138 ou plus récente. Google a spécifiquement mentionné que la version Android contient les mêmes correctifs de sécurité que ses homologues de bureau, garantissant ainsi une protection complète sur toutes les plateformes.

Pour les utilisateurs desktop

Voici les étapes détaillées pour les utilisateurs de bureau :

  1. Ouvrez Google Chrome sur votre ordinateur Windows, macOS ou Linux
  2. Cliquez sur les trois points verticaux dans le coin supérieur droit pour ouvrir le menu
  3. Sélectionnez “Paramètres” dans le menu déroulant
  4. Faites défiler vers le bas et cliquez sur “À propos de Chrome”
  5. Chrome vérifiera automatiquement les mises à jour et les installera si nécessaire
  6. Si une mise à jour est disponible, attendez son installation complète
  7. Redémarrez Chrome si vous y êtes invité
  8. Vérifiez que vous avez bien la version 142.0.7444.134 ou plus récente

Dans la pratique, la plupart des utilisateurs ont activé les mises à jour automatiques dans Chrome, ce qui signifie que la mise à jour est déjà appliquée ou en cours de déploiement. Cependant, il est toujours prudent de vérifier manuellement, surtout dans les environnements professionnels où les politiques de sécurité peuvent retarder l’application automatique des mises à jour. Selon Google, le déploiement progressif de la mise à jour s’étalera sur plusieurs jours et semaines, conformément à son processus de déploiement par étapes.

Pour les utilisateurs Android

Pour les utilisateurs d’appareils Android, voici la procédure à suivre :

  1. Ouvrez le Google Play Store sur votre appareil Android
  2. Appuyez sur le menu hamburger (les trois lignes horizontales) dans le coin supérieur gauche
  3. Sélectionnez “Mes applications et jeux” dans le menu
  4. Faites défiler jusqu’à trouver Google Chrome dans la liste des applications
  5. Si une mise à jour est disponible, vous verrez un bouton “Mettre à jour”
  6. Appuyez sur le bouton pour démarrer le processus de mise à jour
  7. Attendez la fin du téléchargement et de l’installation
  8. Redémarrez l’application si vous y êtes invité
  9. Vérifiez que vous avez bien la version 142.0.7444.138 ou plus récente

Google a souligné que la version Android contient les mêmes correctifs de sécurité que les versions de bureau, garantissant ainsi une protection complète sur toutes les plateformes. Cette uniformité dans les correctifs est essentielle pour maintenir un niveau de sécurité cohérent entre les différents appareils et systèmes d’exploitation. Dans le contexte des menaces cyber actuelles, où les utilisateurs accèdent à des données sensibles depuis plusieurs appareils, cette cohérence est cruciale pour une protection efficace.

Recommandations de sécurité supplémentaires

Au-delà de l’application immédiate de la mise à jour Chrome 142, plusieurs mesures supplémentaires peuvent aider à renforcer la sécurité des utilisateurs. L’activation des mises à jour automatiques est fortement recommandée pour garantir que les futurs correctifs de sécurité soient appliqués dès leur disponibilité. Dans Chrome, les utilisateurs peuvent activer cette option dans les paramètres sous “Paramètres avancés” → “Système” → “Désactiver les mises à jour automatiques” (en s’assurant que cette option est désactivée).

Une autre mesure importante consiste à maintenir tous les autres logiciels et systèmes d’exploitation à jour. Les vulnérabilités de navigateur sont souvent exploitées en combinaison avec d’autres failles dans le système d’exploitation ou d’applications tierces. Selon une étude de l’ANSSI publiée en 2025, environ 40% des violations de données pourraient être évitées si tous les logiciels étaient maintenus à jour avec les dernières corrections de sécurité.

Bonnes pratiques pour maintenir son navigateur sécurisé

Pour maintenir Chrome et d’autres navigateurs sécurisés, les utilisateurs et les organisations devraient adopter plusieurs bonnes pratiques :

  1. Activer le mode automatique de mise à jour : Comme mentionné précédemment, assurez-vous que les mises à jour automatiques sont activées pour Chrome et tous les autres logiciels.

  2. Utiliser des extensions de sécurité : Des extensions comme uBlock Origin ou Privacy Badger peuvent aider à bloquer les publicités malveillantes et le suivi.

  3. Pratiquer une navigation prudente : Évitez de cliquer sur des liens suspects ou de visiter des sites web non fiables, même s’ils semblent légitimes.

  4. Utiliser le mode de navigation privée : Pour les activités sensibles, utilisez le mode de navigation privée ou incognito pour limiter la collecte de données.

  5. Gérer les mots de passe de manière sécurisée : Utilisez un gestionnaire de mots de passe pour stocker et sécuriser vos identifiants.

  6. Activer l’authentification multi-facteurs (MFA) : Pour tous les comptes en ligne, activez l’authentification multi-facteurs pour ajouter une couche de sécurité supplémentaire.

  7. Éviter l’utilisation de navigateurs non supportés : Évitez d’utiliser des navigateurs obsolètes ou non maintenus, car ils ne bénéficient plus de mises à jour de sécurité.

Ces pratiques, lorsqu’elles sont combinées avec les mises à jour de sécurité régulières, forment une approche défensive complète qui peut considérablement réduire le risque d’exploitation des vulnérabilités. Dans le contexte actuel des menaces cyber, où les attaques sont de plus en plus sophistiquées, une approche de défense en profondeur est essentielle pour protéger les données personnelles et professionnelles.

Autres mesures de protection

Pour les organisations, des mesures supplémentaires sont nécessaires pour compléter les mises à jour de navigateur. L’implémentation d’un contrôle d’accès strict aux ressources sensibles peut limiter l’impact d’une éventuelle compromission. De même, le monitoring des activités réseau et des événements de sécurité peut aider à détecter les tentatives d’exploitation de vulnérabilités.

La formation des employés aux risques cyber et aux bonnes pratiques de sécurité est également essentielle. Selon une étude menée par l’ANSSI en 2025, les erreurs humaines sont la cause principale de 65% des violations de données dans les organisations françaises. Cette statistique souligne l’importance cruciale de la sensibilisation aux risques cyber et de la formation continue des employés aux bonnes pratiques de sécurité.

Enfin, pour les organisations très sensibles, l’utilisation de navigateurs hardened ou de solutions de navigation sécurisée peut offrir une protection supplémentaire. Ces solutions sont spécifiquement conçues pour résister aux attaques sophistiquées et fournir un environnement de navigation plus sûr. Bien que ces solutions ne remplacent pas la nécessité de maintenir les navigateurs standard à jour, elles peuvent constituer une couche de défense supplémentaire dans les environnements à haut risque.

Conclusion : L’importance des mises à jour de sécurité

La mise à jour d’urgence Chrome 142 démontre une fois de plus l’importance cruciale des mises à jour de sécurité dans la lutte contre les cybermenaces modernes. Les cinq vulnérabilités corrigées dans cette mise à jour, dont trois classées comme critiques, représentent des risques substantiels pour les utilisateurs individuels et les organisations. Dans le paysage cyberactuel de 2025, où les attaques sont de plus en plus sophistiquées et ciblées, la simple négligence d’une mise à jour de navigateur peut conduire à des conséquences désastreuses.

La réponse rapide de Google à ces vulnérabilités, bien que notable, soulève également des questions plus larges sur la sécurité des logiciels dans leur ensemble. La fréquence croissante des mises à de sécurité d’urgence suggère que le développement de logiciels sécurisés dès la conception doit devenir une priorité absolue pour tous les éditeurs de logiciels. Dans le contexte français, où la protection des données personnelles est régie par le RGPD et d’autres réglementations strictes, cette responsabilité est d’autant plus importante.

Enfin, cette mise à jour Chrome 142 rappelle aux utilisateurs l’importance de maintenir tous leurs logiciels à jour et d’adopter de bonnes pratiques de sécurité. Dans un monde numérique où les menaces évoluent constamment, la vigilance et la proactivité sont les meilleures défenses. En appliquant immédiatement cette mise à jour et en adoptant les mesures de sécurité supplémentaires recommandées, les utilisateurs peuvent non seulement se protéger contre les vulnérabilités actuelles mais aussi renforcer leur résilience face aux menaces futures.

La cybersécurité n’est pas une solution unique mais un processus continu qui nécessite l’engagement constant des individus, des organisations et des éditeurs de logiciels. La mise à jour Chrome 142 en est une parfaite illustration : elle représente une étape cruciale dans ce processus continu de protection des utilisateurs dans le paysage cyberactuel de 2025.