Google alerte sur une faille critique dans Chrome
Google a annoncé le 18 septembre la découverte d’une faille de sécurité critique dans son navigateur Chrome. Référencée CVE-2025-10585, cette vulnérabilité touche le moteur JavaScript V8 et a déjà été exploitée par des attaquants, selon l’éditeur.
Une faille de type confusion
La faille est classée comme une vulnérabilité de type confusion, qui permet à un acteur malveillant d’exécuter du code arbitraire en manipulant la mémoire du navigateur. Comme elle est actuellement activement exploitée, Google recommande une mise à jour immédiate pour limiter les risques d’attaque.
Tout utilisateur dont la version est antérieure au numéro 140.0.7339.185 reste exposé.
Mise à jour automatique… mais pas instantanée
Par défaut, Chrome se met à jour automatiquement en arrière-plan. Cependant, l’application du correctif n’est pas instantanée : il faut redémarrer le navigateur pour que la mise à jour prenne effet. Les experts en cybersécurité conseillent donc de forcer la mise à jour manuellement.
Pour mettre à jour Chrome manuellement il faut taper la commande
chrome://settings/help
dans la ligne de commande de votre navigateur, la version en cours sera affichée et le cas échéant la mise à jour sera immédiatement appliquée.
Il s’agit de la huitième faille zero-day corrigée dans Chrome depuis le début de l’année 2025. La multiplication de ces vulnérabilités souligne la nécessité pour les utilisateurs de rester attentifs et de maintenir leurs logiciels à jour.
Comme souvent, Google reste discret sur les détails techniques de l’exploitation en cours, afin de limiter les tentatives d’attaques avant que la majorité des utilisateurs n’ait appliqué la mise à jour.
Qu'est-ce que une vulnérabilité zéro-day?
Les vulnérabilités zero-day, une menace invisible
Une faille zero-day est une vulnérabilité inconnue touchant un logiciel ou un système d’exploitation. Son nom reflète l’urgence : l’éditeur n’a eu “zéro jour” pour préparer un correctif, car il ignore encore l’existence de la faille.
Ces vulnérabilités sont particulièrement dangereuses : elles peuvent être exploitées avant même qu’une solution de protection soit disponible. Dans ce contexte, la cybersécurité repose sur deux réalités incontournables : aucun système n’est invulnérable et aucune défense n’est parfaite.
Dès qu’une faille est identifiée, les chercheurs et éditeurs s’empressent de développer un correctif. Aux entreprises ensuite d’appliquer la mise à jour sans délai et de renforcer leur vigilance, car une période de risque subsiste jusqu’à ce que tous les systèmes vulnérables soient protégés.
Vulnérabilités et attaques zero-day : comprendre la menace
Une vulnérabilité zero-day désigne une faille de sécurité encore inconnue de l’éditeur du logiciel. Tant qu’aucun correctif n’a été conçu, testé et diffusé, elle demeure exploitable. Cette période critique donne un avantage aux cybercriminels, capables de développer rapidement des logiciels malveillants pour l’exploiter.
Un exploit zero-day correspond au scénario le plus dangereux : l’élaboration d’un code malveillant spécifiquement conçu pour tirer parti de la faille avant qu’une solution de sécurité ne soit disponible. Lorsqu’il est utilisé contre une cible réelle, on parle alors d’attaque zero-day. Ces attaques peuvent gravement perturber le fonctionnement des systèmes visés ou permettre le vol de données sensibles.
Un exemple marquant : l’affaire Zoom
Au printemps 2020, en pleine pandémie de COVID-19, l’explosion du télétravail et de l’enseignement à distance a propulsé les logiciels de visioconférence au cœur de la vie quotidienne. Zoom, qui a dépassé les 500 millions de téléchargements cette année-là, a été touché par une vulnérabilité zero-day permettant à des attaquants d’accéder à distance aux ordinateurs d’utilisateurs. Bien que corrigée rapidement, la faille a terni l’image de la plateforme, poussant certaines entreprises et écoles à en restreindre ou interdire temporairement l’usage.
Une menace en forte hausse
Le nombre d’exploits zero-day recensés ne cesse de croître. En 2021, un record de 83 cas a été signalé, soit plus du double de l’année précédente. Cette hausse s’explique autant par l’augmentation des logiciels, services cloud et objets connectés que par l’amélioration des outils de sécurité, désormais capables de détecter des attaques qui seraient passées inaperçues auparavant.