Mise à jour d'urgence Chrome 142 : correction de multiples vulnérabilités critiques

Apollinaire Monteclair

Chrome 142 : une mise à jour d’urgence face à des vulnérabilités critiques menaçant des millions d’utilisateurs

Google a déployé une mise à jour d’urgence pour son navigateur Chrome, version 142, afin de corriger une série de vulnérabilités graves d’exécution de code à distance (RCE) qui pourraient permettre aux attaquants de prendre le contrôle des systèmes affectés. Cette mise à jour, publiée le 5 novembre 2025, est progressivement déployée sur les plateformes de bureau (Windows, macOS et Linux) ainsi que sur les appareils Android via Google Play et le mécanisme de mise à jour intégré de Chrome. Selon les données de l’ANSSI, plus de 65% des entreprises françaises utilisent Chrome comme navigateur principal, ce qui rend cette mise à jour particulièrement critique pour la sécurité numérique en France.

Cette version corrige cinq failles distinctes, trois étant classées comme de haute gravité en raison de leur potentiel de corruption mémoire et d’exécution de code à distance. Parmi celles-ci, le problème le plus critique est CVE-2025-12725, une faille découverte dans WebGPU, l’interface de traitement graphique de Chrome. Cette vulnérabilité, causée par une erreur d’écriture hors limites, pourrait permettre à du code malveillant d’écraser la mémoire système cruciale et d’exécuter des commandes arbitraires. Un chercheur en sécurité anonyme a d’abord identifié CVE-2025-12725 le 9 septembre 2025. Google a restreint les détails techniques de l’exploitation pour empêcher les attaquants de l’utiliser avant que la majorité des utilisateurs n’aient appliqué la mise à jour.

Analyse détaillée des vulnérabilités critiques corrigées par Chrome 142

La faille WebGPU : CVE-2025-12725

CVE-2025-12725 représente la menace la plus immédiate pour les utilisateurs de Chrome. Cette vulnérabilité affecte WebGPU, une technologie de Google permettant aux applications web d’accéder directement au processeur graphique de l’appareil, offrant ainsi des performances graphiques comparables à celles des applications natives. Dans la pratique, cette faille pourrait être exploitée par des sites web malveillants pour exécuter du code arbitraire sur l’appareil de la victime, ouvrant la porte à des vol de données, à l’installation de logiciels malveillants ou à un contrôle total du système.

Selon l’avis de l’ANSSI, cette vulnérabilité présente un risque systémique important, particulièrement pour les organisations utilisant des applications web intensives en graphisme. En France, plusieurs secteurs critiques comme la défense, la santé et les services financiers sont particulièrement exposés, car ils dépendent fortement d’applications web modernes utilisant des technologies graphiques avancées.

Les autres failles critiques : CVE-2025-12726 et CVE-2025-12727

Deux autres vulnérabilités de haute gravité ont également été corrigées par cette mise à jour. CVE-2025-12726, signalée par le chercheur Alesandro Ortiz le 25 septembre 2025, concerne une mise en œuvre inappropriée dans le composant Views de Chrome, partie responsable de l’interface utilisateur du navigateur. Cette faille pourrait permettre aux attaquants de manipuler l’interface utilisateur de manière malveillante et potentiellement exécuter du code à distance.

Par ailleurs, CVE-2025-12727, identifiée par le chercheur 303f06e3 le 23 octobre 2025, affecte le moteur JavaScript V8 de Chrome, le cœur des performances et de l’environnement d’exécution du navigateur. Cette vulnérabilité est particulièrement préoccupante car V8 est le moteur qui exécute tout le code JavaScript sur les pages web, ce qui en fait une cible de choix pour les attaquants.

Selon les évaluations internes de Google, ces deux vulnérabilités ont reçu des scores CVSS 3.1 de 8.8, indiquant un risque direct et immédiat pour les systèmes affectés. En pratique, un attaquant pourrait exploiter ces failles simplement en visitant un site web conçu à cet effet, sans aucune interaction supplémentaire de l’utilisateur.

Les vulnérabilités de gravité moyenne dans l’Omnibox

Aux côtés de ces correctifs critiques, Google a également adressé deux vulnérabilités de gravité moyenne dans l’Omnibox de Chrome, la barre de recherche combinée et d’adresse. CVE-2025-12728, signalée par Hafiizh, et CVE-2025-12729, découverte par Khalil Zhani, proviennent toutes deux de mises en œuvre inappropriées qui pourraient conduire à une exposition de données ou à une manipulation de l’interface utilisateur.

Bien que moins graves que les failles WebGPU ou V8, ces problèmes méritent une mise à jour rapide des utilisateurs pour prévenir toute éventuelle malutilisation. Dans le contexte français, ces vulnérabilités pourraient être exploitées dans des campagnes de phishing ciblant les institutions publiques ou les entreprises, en manipulant l’interface du navigateur pour rediriger les utilisateurs vers des sites frauduleux.

Selon les notes de version officielles de Google :

  • Pour les ordinateurs (Windows, macOS, Linux) : Version 142.0.7444.134/.135
  • Pour Android : Version 142.0.7444.138

Google a souligné que la version Android contient les mêmes correctifs de sécurité que ses homologues de bureau. Le déploiement se poursuivra au cours des prochains jours et semaines dans le cadre du processus de déploiement par étapes de l’entreprise.

Tableau comparatif des vulnérabilités corrigées

CVEComposant affectéGravitéDate de découverteCVSS 3.1Impact potentiel
CVE-2025-12725WebGPUCritique9 septembre 20259.8Exécution de code à distance, corruption mémoire
CVE-2025-12726ViewsCritique25 septembre 20258.8Manipulation UI, exécution de code
CVE-2025-12727V8 JavaScriptCritique23 octobre 20258.8Exécution de code arbitraire, corruption mémoire
CVE-2025-12728OmniboxMoyenneNon spécifiée6.5Exposition de données, manipulation UI
CVE-2025-12729OmniboxMoyenneNon spécifiée6.5Exposition de données, manipulation UI

Recommandations de sécurité pour les utilisateurs

Comment vérifier et appliquer la mise à jour

Il est fortement recommandé à tous les utilisateurs de mettre à jour Chrome immédiatement. Les utilisateurs de bureau doivent se rendre dans Paramètres → À propos de Chrome pour vérifier s’ils disposent de la version 142.0.7444.134 ou ultérieure, tandis que les utilisateurs Android peuvent vérifier les mises à jour via le Google Play Store. L’activation des mises à jour automatiques est vivement conseillée pour garantir que les correctifs futurs soient appliqués dès leur sortie.

Conseil pratique des experts de l’ANSSI : Pour les organisations, il est recommandé de tester la mise à jour dans un environnement de pré-production avant un déploiement complet, afin de s’assurer qu’elle n’interfère pas avec les applications métier critiques dépendant de Chrome.

Étapes spécifiques pour chaque plateforme

Pour Windows :

  1. Ouvrez Chrome
  2. Cliquez sur les trois points en haut à droite
  3. Allez dans “Aide” → “À propos de Google Chrome”
  4. La vérification et l’installation automatiques commenceront
  5. Redémarrez Chrome si nécessaire

Pour macOS :

  1. Ouvrez Chrome
  2. Dans le menu Chrome, sélectionnez “À propos de Google Chrome”
  3. La vérification et l’installation automatiques commenceront
  4. Redémarrez Chrome si nécessaire

Pour Linux :

  1. Ouvrez un terminal
  2. Tapez : sudo apt update && sudo apt upgrade google-chrome-stable (pour les distributions basées sur Debian)
  3. Ou utilisez le gestionnaire de packages de votre distribution

Pour Android :

  1. Ouvrez le Google Play Store
  2. Allez dans “Mes applications et jeux”
  3. Recherchez “Chrome”
  4. Appuyez sur “Mettre à jour”

Mesures de sécurité complémentaires

Même si les deux vulnérabilités de l’Omnibox (CVE-2025-12728 et CVE-2025-12729) sont moins critiques, retarder les mises à jour peut toujours exposer les utilisateurs à des risques de phishing ou d’injection via des interfaces de navigateur manipulées. Dans le contexte actuel des menaces cyber, où les campagnes de phishing se font de plus en plus sophistiquées, la prudence reste de mise.

Selon le dernier rapport de l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI), les vulnérabilités dans les navigateurs web sont exploitées dans 37% des cyberattaques ciblant les organisations françaises, ce qui en fait la vector d’attaque le plus courant après le phishing par email.

Impact sur les entreprises et les secteurs critiques

Conséquences potentielles pour les organisations

Pour les entreprises, ces vulnérabilités représentent un risque opérationnel significatif. Une exploitation réussie de l’une de ces failles pourrait conduire à :

  1. La compromission complète des postes de travail
  2. L’accès non autorisé aux données sensibles
  3. La propagation de logiciels malveillants dans le réseau
  4. L’interruption des activités critiques
  5. Des réputations endommagées et des pertes financières

Dans un contexte français où la conformité avec le RGPD est impérative, une faille de sécurité non corrigée pourrait entraîner des sanctions financières importantes, pouvant atteindre 4% du chiffre d’affaires annuel mondial de l’entreprise.

Secteurs particulièrement exposés

Certains secteurs sont plus vulnérables que d’autres en raison de leur dépendance aux navigateurs web et de la nature sensible de leurs données :

Secteur de la santé : Les établissements de santé utilisent massivement des applications web pour la gestion des dossiers patients, la planification des rendez-vous et la communication. Une vulnérabilité non corrigée pourrait compromettre la confidentialité des données de santé, fortement protégées par le RGPD.

Secteur financier : Les banques et institutions financières dépendent des navigateurs pour les opérations bancaires en ligne, la gestion des comptes et les transactions. Une attaque réussie pourrait avoir des conséquences financières désastreuses et éroder la confiance des clients.

Secteur public : Les administrations utilisent de plus en plus de services en ligne pour la fourniture de services aux citoyens. Une faille dans Chrome pourrait compromettre des données personnelles sensibles et perturber les services essentiels.

Déclaration officielle et détails de la mise à jour

Dans le billet officiel, le membre de l’équipe Chrome Krishna Govind a confirmé le correctif d’urgence pour Android et le bureau. Le message a souligné les efforts continus visant à améliorer la stabilité et les performances, tout en s’assurant que les utilisateurs reçoivent des mises à jour de sécurité en temps opportun.

“Nous venons de publier Chrome 142 (142.0.7444.138) pour Android”, a déclaré le communiqué. “Il sera disponible sur Google Play au cours des prochains jours. Si vous trouvez un nouveau problème, veuillez nous le signaler en signalant un bug.”

Le blog a également rappelé que la mise à jour du canal stable de Chrome pour Windows, macOS et Linux avait commencé à être déployée simultanément le 5 novembre 2025.

Google a remercié les chercheurs en sécurité qui ont divulgué de manière responsable ces vulnérabilités avant qu’elles ne puissent être exploitées. L’entreprise a déclaré que les informations techniques détaillées resteront confidentielles jusqu’à ce que la majorité des utilisateurs aient mis à jour, réduisant ainsi le risque d’attaques ciblées exploitant CVE-2025-12725, CVE-2025-12726 ou CVE-2025-12727.

Bonnes pratiques de sécurité à long terme

Politiques de gestion des correctifs

Pour les organisations, l’incident souligne l’importance d’avoir des politiques de gestion des correctifs robustes. Les bonnes pratiques incluent :

  1. Mettre en place un processus d’évaluation des risques pour les nouvelles vulnérabilités
  2. Prioriser les correctifs en fonction de la criticité et du contexte métier
  3. Tester les mises à jour dans un environnement de pré-production avant déploiement
  4. Planifier des fenêtres de maintenance pour appliquer les correctifs critiques
  5. Maintenir un inventaire précis des logiciels et versions utilisés

Selon une étude récente menée par l’ANSSI, les organisations avec des processus de gestion des correctifs matures réduisent leur risque d’exploitation de vulnérabilités de près de 70%.

Sensibilisation des utilisateurs finaux

Au-delà des mesures techniques, la sensibilisation des utilisateurs reste cruciale. Les employés doivent être formés à :

  1. Reconnaître les tentatives d’hameçonnage
  2. Comprendre l’importance des mises à jour logicielles
  3. Signaler rapidement les anomalies suspectes
  4. Éviter de cliquer sur des liens ou télécharger des pièces jointes non sollicitées
  5. Utiliser des mots de passe forts et l’authentification multifacteur

Dans le contexte français, plusieurs initiatives comme le dispositif “Cybermalveillance.gouv.fr” existent pour aider les organisations et particuliers à se protéger contre les menaces cyber.

Conclusion : l’importance cruciale de la mise à jour immédiate

La mise à jour d’urgence de Chrome 142 met en lumière le paysage en constante évolution des menaces cyber et la nécessité pour les utilisateurs et organisations de rester vigilants et proactifs. Avec cinq vulnérabilités corrigées, dont trois critiques, cette mise à jour n’est pas une option mais une nécessité pour protéger ses données et son système.

Dans le contexte français, où la cybersécurité est une priorité nationale renforcée par le LPM 2025-2027, maintenir ses logiciels à jour représente un acte de citoyenneté numérique. Les vulnérabilités non corrigées comme celles de Chrome 142 constituent des failles de sécurité systémiques qui peuvent être exploitées à grande échelle.

Nous vous recommandons vivement de vérifier immédiatement votre version de Chrome et d’appliquer la mise à jour si nécessaire. La sécurité de vos données personnelles et professionnelles en dépend. N’oubliez pas que dans la cybersécurité, la prévention reste toujours meilleure que le remède.