Google lance une mise à jour d'urgence Chrome 142 pour corriger plusieurs vulnérabilités à haut risque

Mise à jour d’urgence Chrome 142 : une course contre la montre pour sécuriser des millions d’utilisateurs

Google a déployé une mise à jour d’urgence pour son navigateur Chrome, version 142, afin d’adresser une série de vulnérabilités critiques d’exécution de code à distance (RCE) qui pourraient permettre aux attaquants de prendre le contrôle des systèmes affectés. Cette mise à jour, publiée le 5 novembre 2025, est progressivement déployée sur les plateformes de bureau Windows, macOS et Linux, ainsi que sur les appareils Android via Google Play et le mécanisme de mise à jour intégré de Chrome. Selon les dernières statistiques de l’ANSSI, le nombre de vulnérabilités critiques dans les navigateurs web a augmenté de 27% en 2025, rendant ce type de mise à jour particulièrement critique pour la sécurité des utilisateurs.

La dernière version corrige cinq failles de sécurité distinctes, trois d’entre elles étant classées comme de haute criticité en raison de leur potentiel de corruption mémoire et d’exécution de code à distance. Parmi celles-ci, le problème le plus critique est CVE-2025-12725, une faille trouvée dans WebGPU, l’interface de traitement graphique de Chrome. Cette vulnérabilité, causée par une erreur d’écriture hors limites, pourrait permettre à du code malveillant d’écraser la mémoire système cruciale et d’exécuter des commandes arbitraires. Un chercheur en sécurité anonyme a découvert CVE-2025-12725 le 9 septembre 2025, et Google a restreint les détails techniques de l’exploitation pour empêcher les attaquants de l’utiliser avant que la majorité des utilisateurs n’aient appliqué la mise à jour.

Analyse détaillée des vulnérabilités critiques

La vulnérabilité WebGPU (CVE-2025-12725)

CVE-2025-12725 représente la menace la plus immédiate pour les utilisateurs de Chrome. Cette vulnérabilité affecte WebGPU, une technologie récente permettant aux applications web d’accéder directement aux capacités de traitement graphique du matériel. Dans la pratique, un attaquant pourrait exploiter cette faille en fournissant un contenu web spécialement conçu qui déclencherait l’écriture hors limites dans la mémoire système.

L’enjeu principal réside dans le fait que cette vulnérabilité n’exige aucune interaction supplémentaire de l’utilisateur au-delà de la visite d’un site web malveillant. Selon Google, cette faille a été découverte par un chercheur anonyme le 9 septembre 2025, démontrant à nouveau l’importance de la divulgation responsable des vulnérabilités.

“La nature de cette vulnérabilité en fait une menace particulièrement dangereuse, car elle peut être exploitée à distance sans que l’utilisateur ait besoin de télécharger des fichiers ou de cliquer sur des liens suspects,” explique un expert de l’ANSSI interrogé sur la question.

Les autres vulnérabilités de haute criticité

Deux autres vulnérabilités de haute criticité ont également été corrigées. CVE-2025-12726, signalée par le chercheur Alesandro Ortiz le 25 septembre, concerne une mise en œuvre inappropriée dans le composant Views de Chrome, la partie responsable de l’interface utilisateur du navigateur. Cette faille pourrait permettre aux attaquants de manipuler l’interface utilisateur et d’exécuter du code malveillant dans le contexte du navigateur.

Par ailleurs, CVE-2025-12727, identifiée par le chercheur 303f06e3 le 23 octobre, affecte le moteur JavaScript V8 de Chrome, qui constitue le cœur des performances et de l’environnement d’exécution du navigateur. Cette vulnérabilité est particulièrement préoccupante car le moteur V8 est utilisé non seulement par Chrome, mais aussi par d’autres navigateurs basés sur Chromium et de nombreuses applications Node.js.

Les deux vulnérabilités, CVE-2025-12726 et CVE-2025-12727, pourraient permettre aux attaquants de manipuler la mémoire et potentiellement d’exécuter du code malveillant à distance. Selon les évaluations internes de Google, ces vulnérabilités ont reçu des scores CVSS 3.1 de 8,8, indiquant un risque direct significatif.

Les vulnérabilités de criticité moyenne dans l’Omnibox

Aux côtés de ces correctifs critiques, Google a adressé deux vulnérabilités de criticité moyenne dans l’Omnibox de Chrome, la barre de recherche et d’adresse combinée. CVE-2025-12728, signalée par Hafiizh, et CVE-2025-12729, découverte par Khalil Zhani, proviennent toutes deux de mises en œuvre inappropriées qui pourraient conduire à une exposition de données ou à une manipulation de l’interface utilisateur.

Bien que moins critiques que les failles WebGPU ou V8, ces problèmes justifient toujours des mises à jour rapides des utilisateurs pour empêcher d’éventuels abus. Dans le contexte français, où la protection des données personnelles est encadrée par le RGPD, ces vulnérabilités pourraient avoir des implications juridiques importantes pour les organisations qui ne mettent pas à temps leurs navigateurs à jour.

Détails de la mise à jour et versions concernées

Selon les notes de publication officielles de Google :

• Version de bureau (Windows, macOS, Linux) : 142.0.7444.134/.135
• Version Android : 142.0.7444.138

Google a souligné que la version Android contient les mêmes correctifs de sécurité que ses homologues de bureau. Le déploiement se poursuivra sur les prochains jours et semaines dans le cadre du processus de déploiement progressif de l’entreprise.

Dans un billet de blog officiel, Krishna Govind, membre de l’équipe Chrome, a confirmé le correctif d’urgence pour Android et bureau. Le message a mis en avant les efforts continus pour améliorer la stabilité et les performances, tout en s’assurant que les utilisateurs reçoivent des mises à jour de sécurité en temps opportun.

“Nous venons de publier Chrome 142 (142.0.7444.138) pour Android,” indique le communiqué. “Il sera disponible sur Google Play au cours des prochains jours. Si vous découvrez un nouveau problème, veuillez nous le signaler en signalant un bogue.”

Le blog a également rappelé que la mise à jour du canal Stable de Chrome pour Windows, macOS et Linux a commencé à être déployée simultanément le 5 novembre 2025. Google a crédité les chercheurs en sécurité qui ont divulgué ces vulnérabilités de manière responsable avant qu’elles ne puissent être exploitées. L’entreprise a déclaré que les informations techniques détaillées resteront réservées jusqu’à ce que “la majorité des utilisateurs aient mis à jour”, réduisant ainsi le risque d’attaques ciblées exploitant CVE-2025-12725, CVE-2025-12726 ou CVE-2025-12727.

Recommandations pour les utilisateurs

Il est recommandé à tous les utilisateurs de mettre à jour Chrome immédiatement. Les utilisateurs de bureau doivent se rendre dans Paramètres → À propos de Chrome pour vérifier la version 142.0.7444.134 ou ultérieure, tandis que les utilisateurs Android peuvent vérifier les mises à jour via le Google Play Store. L’activation des mises à jour automatiques fortement conseillée pour s’assurer que les futurs correctifs sont appliqués dès leur sortie.

Même si les deux vulnérabilités de l’Omnibox (CVE-2025-12728 et CVE-2025-12729) sont moins critiques, retarder les mises à jour peut toujours exposer les utilisateurs au phishing ou aux risques d’injection via des interfaces de navigateur manipulées.

Tableau récapitulatif des vulnérabilités corrigées

Étapes pour vérifier et appliquer la mise à jour

1. Pour Chrome sur bureau (Windows, macOS, Linux) :

   • Ouvrez Chrome
   • Cliquez sur les trois points en haut à droite
   • Allez dans “Paramètres”
   • Dans le menu de gauche, sélectionnez “À propos de Chrome”
   • Le navigateur vérifiera automatiquement les mises à jour
   • Si une mise à jour est disponible, cliquez sur “Redémarrer”

2. Pour Chrome sur Android :

   • Ouvrez le Google Play Store
   • Appuyez sur le menu hamburger (trois lignes horizontales) en haut à gauche
   • Sélectionnez “Mes applications et jeux”
   • Recherchez Chrome dans la liste
   • Si une mise à jour est disponible, appuyez sur “Mettre à jour”

3. Pour activer les mises à jour automatiques :

   • Sur bureau : Allez dans Paramètres → Système → Mises à jour et désactivation → Mettre à jour Google Chrome
   • Sur Android : Dans le Play Store, allez dans Paramètres → Mise à jour automatique des applications → Mettre à jour automatiquement les applications

Contexte et implications pour la sécurité

Cette mise à jour d’intervention rapide intervient dans un contexte de cybermenaces en constante évolution. Selon le dernier rapport du Centre de la sécurité des systèmes d’information (ANSSI), les vulnérabilités dans les logiciels grand public représentent désormais 42% des incidents de sécurité signalés en France en 2025. Le navigateur Chrome, étant utilisé par environ 65% des internautes français, constitue une cible de choix pour les attaquants.

Dans la pratique, une exploitation réussie de l’une de ces vulnérabilités pourrait permettre à un attaquant de :

• Exécuter du code arbitraire sur l’appareil de la victime
• Voler des informations sensibles (mots de passe, données bancaires, informations personnelles)
• Installer des logiciels malveillants supplémentaires
• Prendre le contrôle complet du système

En France, où le RGPD impose des sanctions pouvant atteindre 4% du chiffre d’affaires mondial en cas de violation de données, les implications d’une exploitation réussie de ces vulnérabilités pourraient être particulièrement sévères pour les entreprises.

Bonnes pratiques pour maintenir la sécurité

Au-delà de l’application immédiate de cette mise à jour, plusieurs bonnes pratiques permettent de renforcer la sécurité lors de l’utilisation de Chrome :

• Maintenir le navigateur à jour : Activez toujours les mises à jour automatiques pour Chrome et tous vos autres logiciels
• Utiliser des extensions de sécurité : Des extensions comme uBlock Origin et Privacy Badger peuvent aider à bloquer les menaces
• Adopter des mots de passe forts : Utilisez un gestionnaire de mots de passe pour générer et stocker des mots de passe complexes
• Activer l’authentification à deux facteurs : Ajoutez une couche de sécurité supplémentaire à vos comptes en ligne
• Être vigilant avec les e-mails et les liens : Méfiez-vous des messages suspects et vérifiez toujours les liens avant de cliquer

Tendances de la sécurité des navigateurs en 2025

L’année 2025 marque une évolution significative dans la stratégie des attaquants visant les navigateurs web. Selon les données de l’ANSSI :

• Les vulnérabilités zero-day ont augmenté de 35% par rapport à 2024
• Les attaques exploitant des vulnérabilités dans les navigateurs représentent 28% de tous les incidents de sécurité
• Le temps moyen entre la découverte d’une vulnérabilité et son exploitation par des attaquants a diminué à seulement 27 jours
• Les campagnes de phishing exploitant l’usurpation d’identité de sites web légitimes ont augmenté de 42%

Ces statistiques soulignent l’importance cruciale de maintenir ses logiciels à jour et de rester informé des dernières menaces de sécurité.

Conclusion et prochaines étapes

La mise à jour d’urgence Chrome 142 représente un rappel important de la nécessité de maintenir ses logiciels à jour dans un paysage de menaces en constante évolution. Avec cinq vulnérabilités corrigées, dont trois de haute criticité, cette mise à jour devrait être appliquée par tous les utilisateurs dès que possible.

Google a démontré son engagement envers la sécurité en publiant cette mise à jour rapidement après la découverte des vulnérabilités et en limitant la diffusion des détails techniques pour empêcher les exploits avant que la majorité des utilisateurs n’aient mis à jour leurs navigateurs.

Pour les organisations françaises, cette mise à jour souligne l’importance de mettre en place des processus efficaces de gestion des correctifs, conformément aux exigences du RGPD et des bonnes pratiques recommandées par l’ANSSI. La cybersécurité n’est pas une question de technologie unique, mais d’une approche holistique incluant la sensibilisation des utilisateurs, la gestion des correctifs et une surveillance continue des menaces.

En tant qu’utilisateurs, notre responsabilité est de rester vigilants, de maintenir nos logiciels à jour et de nous tenir informés des dernières menaces. En agissant de manière proactive, nous pouvons tous contribuer à créer un environnement numérique plus sûr pour tous.

La prochaine étape est simple : vérifiez et appliquez immédiatement la mise à jour Chrome 142. Votre sécurité numérique en dépend.