Une erreur de Google menace des millions d'utilisateurs
Google a involontairement publié du code permettant d'exploiter une faille de sécurité connue depuis fin 2022 dans de nombreux navigateurs web. Les données sensibles circulent encore sur Internet, bien que Google ait entre-temps retiré les informations de ses pages.
Sont concernés tous les navigateurs construits sur la base de code du projet Chromium de Google. Parmi eux:
- Google Chrome,
- Microsoft Edge,
- Brave,
- Opera,
- Vivaldi
- Arc.
La date à laquelle Google corrigera cette faille, qualifiée de «grave» par les développeurs, n'est pas connue.
Quel est le problème?
Le code d'exploitation de cette faille de sécurité encore non corrigée a été publié par Google le mercredi 20 mai 2026, comme l'a rapporté le site spécialisé Ars Technica.
Selon ce rapport, la faille se trouve dans un composant des navigateurs qui sert à télécharger des fichiers volumineux en arrière-plan. Des attaquants pourraient l'utiliser pour installer un logiciel malveillant sur des machines tierces via un site web manipulé. Ce logiciel continuerait à fonctionner en arrière-plan, même une fois le navigateur fermé. Sur certains systèmes, le programme resterait même actif après un redémarrage complet de l'appareil.
Les navigateurs infectés pourraient être intégrés à des réseaux anonymes, utilisés pour des attaques DDoS coordonnées (réd: des cyberattaques qui consistent à saturer un serveur, un site web ou un réseau) ou exploités pour surveiller les comportements de navigation, indique-t-on.
Le risque réel résiderait dans le fait que de nombreux appareils infectés permettraient de constituer un botnet, qui pourrait ensuite être combiné avec d'autres failles de sécurité.
Une faille connue depuis longtemps
La chercheuse en sécurité Lyra Rebane, qui avait découvert la faille à l'origine et l'avait signalée confidentiellement à Google en décembre 2022, a indiqué à Ars Technica que l'exploitation du code publié était «assez simple». Elle a en revanche qualifié la constitution d'un grand botnet de plus complexe, mais pas impossible.
Lyra Rebane a également été la première à remarquer la défaillance de Google la semaine dernière. Elle avait d'abord supposé que la faille avait enfin été corrigée. Peu après, elle avait constaté que la faille restait toujours activement exploitable.
Quel navigateur faut-il éviter à tout prix?
La situation serait particulièrement délicate pour les utilisateurs du navigateur Microsoft Edge. Dans la version actuelle, l'exploitation de la faille ne ferait apparaître aucun signe visible, comme une fenêtre pop-up de téléchargement ou un message d'erreur. L'attaque se déroulerait entièrement en coulisses, indique-t-on.
Les utilisateurs devraient prêter attention aux messages d'erreur ou aux pop-ups lors de leur navigation sur Internet. Les utilisateurs du navigateur Edge devraient pour l'heure renoncer entièrement à son utilisation jusqu'à ce que la faille soit corrigée.
Selon le rapport, Google n'a, dans un premier temps, pas répondu aux demandes concernant les raisons de la publication de la faille. Un porte-parole a en outre expliqué que l'entreprise était consciente de la publication du code source et travaillait à une solution.