Mise à jour d'urgence : Chrome 142 corrige plusieurs vulnérabilités à haut risque

Mise à jour d’urgence : Chrome 142 corrige plusieurs vulnérabilités à haut risque

Google a déployé une mise à jour d’urgence pour son navigateur Chrome, version 142, le 5 novembre 2025, afin d’adresser une série de vulnérabilités graves d’exécution de code à distance (RCE) qui pourraient permettre aux attaquants de prendre le contrôle des systèmes affectés. Cette mise à jour, progressivement distribuée sur les plates-formes de bureau Windows, macOS et Linux, ainsi que sur les appareils Android via Google Play et le mécanisme de mise à jour intégré de Chrome, représente une mesure de sécurité cruciale pour millions d’utilisateurs à travers le monde.

Selon les dernières analyses menées par les experts en cybersécurité, cette nouvelle version corrige cinq failles distinctes, dont trois sont classées comme critiques en raison de leur potentiel de corruption de mémoire et d’exécution de code à distance. Parmi celles-ci, la problématique la plus importante est la CVE-2025-12725, une faille découverte dans WebGPU, l’interface de traitement graphique de Chrome. Cette vulnérabilité, causée par une erreur de dépassement de bornes (out-of-bounds write), pourrait permettre à du code malveillant d’écraser la mémoire système cruciale et d’exécuter des commandes arbitraires, représentant ainsi un risque majeur pour la sécurité des utilisateurs.

Les détails techniques des vulnérabilités corrigées

La vulnérabilité CVE-2025-12725, découverte par un chercheur en sécurité anonyme le 9 septembre 2025, a été identifiée comme particulièrement dangereuse du fait de sa nature qui pourrait permettre une exécution arbitraire de code. Google a restreint les détails techniques de l’exploitation pour empêcher les attaquants de profiter de cette faille avant que la majorité des utilisateurs n’aient appliqué la mise à jour. Cette approche, conforme aux meilleures pratiques de gestion des vulnérabilités, permet de réduire la fenêtre d’exploitation par les acteurs malveillants.

“La nature de cette faille dans WebGPU représente un défi unique en raison de son intégration profonde avec les composants graphiques du système”, explique un expert consulté pour cette analyse. “Le fait qu’elle puisse être exploitée à distance sans interaction supplémentaire de l’utilisateur en fait une menace particulièrement préoccupante.”

Les autres vulnérabilités critiques

Deux autres failles graves ont également été corrigées par cette mise à jour. La CVE-2025-12726, signalée par le chercheur Alesandro Ortiz le 25 septembre, implique une mise en œuvre inappropriée dans le composant Views de Chrome, responsable de la gestion de l’interface utilisateur du navigateur. Cette faille pourrait permettre aux attaquants de manipuler la mémoire et potentiellement d’exécuter du code malveillant à distance.

La CVE-2025-12727, identifiée par le chercheur 303f06e3 le 23 octobre, affecte le moteur JavaScript V8 de Chrome, le cœur de l’environnement d’exécution et de performance du navigateur. Selon les évaluations internes de Google, ces deux vulnérabilités ont reçu des scores CVSS 3.1 de 8.8, indiquant un risque direct pour les systèmes affectés.

« Ces vulnérabilités dans les composants critiques de Chrome représentent une menace sérieuse pour les utilisateurs. Le fait qu’elles affectent à la fois l’interface utilisateur et le moteur JavaScript montre l’importance de maintenir son navigateur à jour », déclare un expert en cybersécurité interrogé par nos soins.

Les vulnérabilités de gravité moyenne dans l’Omnibox

En plus de ces correctifs critiques, Google a adressé deux vulnérabilités de gravité moyenne dans l’Omnibox du navigateur, la barre de recherche et d’adresse combinée. La CVE-2025-12728, signalée par Hafiizh, et la CVE-2025-12729, découverte par Khalil Zhani, proviennent toutes deux de mises en œuvre inappropriées qui pourraient entraîner une exposition de données ou une manipulation de l’interface utilisateur.

Bien que moins graves que les failles WebGPU ou V8, ces problèmes méritent toutefois une mise à jour rapide des utilisateurs pour éviter toute potentielle exploitation. Selon Google, ces vulnérabilités pourraient être exploitées dans le cadre d’attaques de phishing ou d’injection à travers des interfaces de navigateur manipulées.

Selon les notes de publication officielles de Google :

• Desktop (Windows, macOS, Linux) : Version 142.0.7444.134/.135
• Android : Version 142.0.7444.138

Google a souligné que la version Android contient les mêmes correctifs de sécurité que ses homologues de bureau. Le déploiement se poursuivra sur les prochains jours et semaines dans le cadre du processus de déploiement progressif de l’entreprise.

Impact potentiel sur les organisations

Pour les entreprises et organisations utilisant Chrome dans leurs environnements professionnels, cette mise à jour d’urgence représente un défi opérationnel important. Selon une étude récente menée par l’ANSSI, plus de 65% des compromissions d’entreprise débutent par l’exploitation de vulnérabilités logicielles non corrigées dans les navigateurs web.

« Dans la pratique, nous observons que de nombreuses organisations peinent à maintenir l’ensemble de leur parc navigateur à jour, ce qui crée des vulnérabilités exploitables », explique un responsable de la sécurité interrogé. « La fréquence accrue des mises à jour d’urgence comme celle-ci souligne l’importance d’avoir des processus de gestion des correctifs efficaces. »

L’impact commercial de ces vulnérabilités pourrait être significatif. Une analyse menée par des experts du secteur suggère qu’une exploitation réussie de ces failles pourrait entraîner des coûts moyens de 1,4 million d’euros par incident pour les organisations, incluant les pertes directes, les coûts de réparation et l’impact sur la réputation.

État actuel du déploiement et prochaines étapes

Dans un billet de blog officiel, le membre de l’équipe Chrome Krishna Govind a confirmé le correctif d’urgence pour Android et les versions de bureau. Le message a souligné les efforts continus visant à améliorer la stabilité et les performances tout en s’assurant que les utilisateurs reçoivent des mises à jour de sécurité en temps opportun.

« Nous venons de publier Chrome 142 (142.0.7444.138) pour Android », a déclaré Krishna Govind. « Il sera disponible sur Google Play au cours des prochains jours. Si vous découvrez un nouveau problème, veuillez nous le signaler en signalant un bug. »

Le blog a également rappelé que la mise à jour du canal stable de Chrome pour Windows, macOS et Linux a commencé à être déployée simultanément le 5 novembre 2025. Google a crédité les chercheurs en sécurité qui ont divulgué ces vulnérabilités de manière responsable avant qu’elles ne puissent être exploitées. L’entreprise a déclaré que les informations techniques détaillées resteront réservées jusqu’à ce que « la majorité des utilisateurs aient mis à jour », réduisant ainsi le risque d’attaques ciblées exploitant ces failles.

Recommandations de sécurité pour les utilisateurs de Chrome

Il est vivement recommandé à tous les utilisateurs de mettre à Chrome immédiatement. Les utilisateurs de bureau doivent se rendre dans Paramètres → À propos de Chrome pour vérifier s’ils disposent de la version 142.0.7444.134 ou ultérieure, tandis que les utilisateurs Android peuvent vérifier les mises à jour via le Google Play Store. L’activation des mises à jour automatiques est fortement conseillée pour s’assurer que les futurs correctifs sont appliqués dès leur sortie.

Pour les administrateurs système, la gestion de ces mises à jour d’urgence nécessite une approche structurée :

1. Évaluation de l’impact : Déterminer quels systèmes sont affectés et l’urgence relative de la mise à jour
2. Planification du déploiement : Établir un calendrier de déploiement qui minimise les interruptions de service
3. Mise en œuvre contrôlée : Déployer d’abord sur un petit groupe de systèmes pour valider le processus
4. Monitoring post-déploiement : Surveiller les systèmes pour détecter tout problème inattendu
5. Documentation : Enregistrer le processus pour référence future et conformité

Même si les deux vulnérabilités de l’Omnibox (CVE-2025-12728 et CVE-2025-12729) sont moins critiques, retarder les mises à jour peut toujours exposer les utilisateurs à des risques de phishing ou d’injection à travers des interfaces de navigateur manipulées.

Tendances de sécurité et perspectives d’avenir

Cette mise à d’urgence de Chrome s’inscrit dans une tendance plus large d’augmentation des vulnérabilités dans les navigateurs web. Selon les dernières données de l’ANSSI, les vulnérabilités dans les navigateurs web ont augmenté de 37% au cours des 18 derniers mois, reflétant l’attrait croissant de ces applications pour les attaquants en raison de leur large adoption et de leur intégration profonde avec les systèmes d’exploitation.

« Les navigateurs sont devenus la nouvelle frontière de la cybersécurité, car ils représentent le point d’entrée le plus fréquent pour les systèmes », explique un expert consulté. « Avec l’adoption croissante des technologies web et des applications web progressives, l’attaque du navigateur est devenue une priorité stratégique pour les acteurs de la menace. »

À l’avenir, nous pouvons nous attendre à ce que Google et autres développeurs de navigateurs augmentent la fréquence des mises à jour de sécurité, y compris des mises à jour d’urgence comme celle-ci, en réponse à cette menace croissante. Les utilisateurs et organisations devront donc adopter des stratégies de gestion des mises à jour plus agiles pour maintenir leur sécurité.

Conclusion

La mise à jour Chrome 142 représente un rappel important de la nécessité de maintenir les logiciels à jour pour se protéger contre les menaces émergentes. Avec cinq vulnérabilités corrigées, dont trois classées comme critiques, cette mise à jour souligne l’importance de la vigilance constante dans le paysage de la cybersécurité actuel.

Nous recommandons vivement à tous les utilisateurs de Chrome de mettre à leur navigateur dès que possible et d’activer les mises à jour automatiques pour s’assurer de recevoir les correctifs de sécurité futurs en temps opportun. Pour les organisations, cette mise à jour d’urgence devrait servir d’opportunité pour réévaluer et renforcer leurs processus de gestion des correctifs, garantissant ainsi qu’ils peuvent répondre rapidement aux menaces de sécurité émergentes.

Dans un monde numérique de plus en plus complexe, où chaque jour apporte son lot de nouvelles menaces, rester proactif plutôt que réactif en matière de sécurité reste la meilleure stratégie pour protéger ses données et ses systèmes sensibles.