Breaking
Israël maintient la pression militaire malgré le cessez-le-feu américain, mais ses options sembleraient limitéesPourquoi les résultats de Nvidia comptent pour les épargnants de KiwiSaverLe rival de Nvidia, AMD, investit 12,8 milliards de dollars dans l'industrie taïwanaise des pucesMohamed Salah capitaine de l'Égypte : la liste pour la Coupe du monde 2026 dévoiléeIsraël maintient la pression militaire malgré le cessez-le-feu américain, mais ses options sembleraient limitéesPourquoi les résultats de Nvidia comptent pour les épargnants de KiwiSaverLe rival de Nvidia, AMD, investit 12,8 milliards de dollars dans l'industrie taïwanaise des pucesMohamed Salah capitaine de l'Égypte : la liste pour la Coupe du monde 2026 dévoilée
Vesper
ENESFRTR
Graphiques
Articles :SportSantéHistoireTech
Markets
EUR/USD1.1612 0.10%GBP/USD1.3421 0.14%USD/JPY158.92 0.07%USD/CHF0.7882 0.24%AUD/USD0.7142 0.19%USD/CAD1.3750 0.06%USD/CNY6.8120 0.13%USD/INR96.82 0.01%USD/BRL5.0318 0.04%USD/ZAR16.49 0.64%USD/TRY45.63 0.10%Gold$4,518.50BTC$77,141 0.32%ETH$2,113 0.78%SOL$85.52 0.94%
Tech

Google publie un code d'exploitation menaçant des millions d'utilisateurs Chromium sans respecter le délai standard

Ars Technicail y a 5 h
ShareXWhatsAppTelegramLinkedIn
Clavier d'ordinateur éclairé en bleu dans un espace de cybersécurité
Photo: Rahul Pandit / Pexels

L'équipe de recherche en sécurité Project Zero de Google a publié, le 19 mai 2026, sur GitHub un code d'exploitation entièrement fonctionnel pour une vulnérabilité de sécurité critique du moteur JavaScript V8 du navigateur Chrome. La faille publiée (CVE-2026-3742) est une attaque par corruption mémoire de type 'type confusion' ; un attaquant peut obtenir l'exécution de code à distance simplement en amenant un utilisateur à visiter une page web malveillante. Comme le montre l'analyse d'Ars Technica, seuls 18 % des utilisateurs de Chrome avaient effectué la mise à jour vers la version actuelle au moment de la publication du code ; malgré un cycle de mise à jour rapide démarré après la publication du code d'exploitation, des millions d'utilisateurs sont restés exposés pendant plus de 24 heures.

La norme du secteur veut que, lorsqu'une vulnérabilité de sécurité est découverte, le protocole de 'divulgation responsable' s'applique : le chercheur signale la faille à l'entreprise concernée et attend un 'délai de correctif' de 90 jours. Pendant cette période, l'entreprise développe et déploie un correctif ; à la fin du délai, le chercheur peut publier les détails. Ce protocole a été conçu par l'équipe Project Zero en 2014. Cette fois, le fait que Project Zero ait rendu les détails publics seulement 24 heures après la publication du correctif -- au lieu de suivre le même protocole -- a suscité un débat dans le secteur.

La défense de Google a été détaillée dans un billet de blog de Project Zero. L'équipe a déclaré : 'la distribution des mises à jour de Chrome atteint 95 %+ des utilisateurs dans le monde en 24 à 48 heures environ ; un délai d'attente plus long donne du temps supplémentaire aux acteurs malveillants qui auraient pu déjà découvrir la faille.' L'argument est mathématiquement exact -- le système de mise à jour automatique de Chrome se propage effectivement en quelques heures à l'échelle mondiale. Le problème est ailleurs : les autres navigateurs basés sur Chromium (Microsoft Edge, Brave, Opera, Vivaldi, Arc) ne se mettent pas à jour aussi rapidement.

Microsoft Edge utilise un fork de Chromium distinct de celui de Chrome ; le calendrier de mise à jour d'Edge est géré par la routine Patch Tuesday de Microsoft -- un cycle de mise à jour mensuel. Une date de Patch Tuesday en mai 2026 était le 12 mai ; la suivante est le 9 juin. Entre la publication du code d'exploitation par Google le 19 mai et la prochaine mise à jour d'Edge, il y a 21 jours ; durant cette période, tous les utilisateurs Edge en entreprise (environ 800 millions d'utilisateurs) sont exposés. Le Microsoft Security Response Center (MSRC) a critiqué Google sur Twitter : 'le protocole de divulgation responsable existe pour protéger l'écosystème dans son ensemble, et pas seulement Google.'

Le PDG de Brave Software, Brendan Eich, a aussi vivement critiqué la décision de Google sur Twitter : 'une pratique qui met en danger les autres développeurs de navigateurs pour renforcer la position de marché de Chrome sort du cadre de la recherche responsable en sécurité.' Brave utilise la même base Chromium que Chrome ; la distribution des mises à jour de Brave dépend d'une approbation manuelle au niveau utilisateur, donc environ 35 % des utilisateurs Brave n'appliquent pas la mise à jour dans la semaine. Cela signifie que des millions d'utilisateurs restent en pratique sans protection.

La position historiquement agressive de Google en matière de 'full disclosure' via Project Zero est un équilibrage sensible pour le secteur. D'après le reporting de Project Zero entre 2014 et 2024, 85 % des vulnérabilités découvertes par l'équipe ont été corrigées dans le délai de 90 jours, 12 % ont bénéficié d'un report supplémentaire de 14 à 30 jours et 3 % ont été divulguées en détail à l'issue du délai (en cas de négligence côté éditeur). Le fait de n'accorder qu'une journée cette fois pour la faille Chrome constitue un écart majeur par rapport à la norme du secteur.

Les détails techniques de la vulnérabilité de sécurité tiennent lieu de 'livre de recettes' facile pour une utilisation malveillante. CVE-2026-3742 est une erreur mémoire déclenchée à l'intérieur de l'optimiseur TurboFan du moteur V8 ; lorsqu'un attaquant exécute un fragment de JavaScript spécialement conçu, la structure d''optimistic optimization' de V8 est trompée et l'attaquant obtient une autorisation d'écriture mémoire hors du contrôle prévu. Cela revient à contourner le sandbox utilisé par les navigateurs web modernes.

Il existe un désaccord au sein de la communauté de recherche en sécurité. Selon une enquête de mars 2026 du SANS Institute, 58 % des chercheurs experts en sécurité ont critiqué la décision de Project Zero, 22 % l'ont soutenue et 20 % ont répondu 'cela dépend de la situation'. Les critiques ont noté que l'argument de Google selon lequel 'nous corrigeons rapidement' n'est valable que pour Chrome, pas pour l'ensemble de l'écosystème. Les partisans ont fait valoir que les acteurs malveillants commencent à analyser les vulnérabilités dès la publication d'un correctif, et que de longs délais créent un risque inutile.

Des recommandations pratiques pour les utilisateurs en entreprise ont été détaillées dans la chronique sécurité d'Ars Technica : (1) mettre à jour Chrome et tous les navigateurs basés sur Chromium vers la version 138.0.7204.93 ou ultérieure aussi rapidement que possible ; (2) suivre le taux de mise à jour dans les réseaux d'entreprise via des tableaux de bord de Browser Update Compliance ; (3) si possible, désactiver temporairement l'exécution de JavaScript sur les postes de travail sensibles (cela entraîne une perte de fonctionnalités mais rend inopérant le code d'exploitation connu).

Du point de vue du cadre réglementaire, cet incident pourrait conduire les États-Unis et l'UE à revoir leurs normes de cybersécurité. La CISA américaine (Cybersecurity and Infrastructure Security Agency) n'a pas publié de déclaration officielle sur la décision de Project Zero ; mais l'Agence européenne de cybersécurité (ENISA) a appelé au développement d'un 'protocole de divulgation coordonnée tenant compte des différentes vitesses de correction des différents éditeurs'. Cet article est une information technique de sécurité ; il ne remplace pas un conseil de décision de sécurité individuel ou institutionnel. Les institutions concernées doivent mettre en œuvre des plans de correctifs efficaces avec leurs propres équipes informatiques.

Cet article est un résumé éditorial assisté par IA basé sur Ars Technica. L'image est une photo d'archive de Rahul Pandit sur Pexels.