Google lance une mise à jour d'urgence Chrome 142 pour corriger plusieurs vulnérabilités à haut risque

Célestine Rochefour

Google lance une mise à jour d’urgence Chrome 142 pour corriger plusieurs vulnérabilités à haut risque

Google a déployé une mise à jour d’urgence pour son navigateur Chrome, en version 142, afin de résoudre une série de vulnérabilités graves d’exécution de code à distance (RCE) qui pourraient permettre aux attaquants de prendre le contrôle des systèmes affectés. Cette mise à jour, publiée le 5 novembre 2025, est progressivement déployée sur les plateformes de bureau Windows, macOS et Linux, ainsi que sur les appareils Android via Google Play et le mécanisme de mise à jour intégré de Chrome. Selon les dernières analyses de la menace, les vulnérabilités dans les navigateurs web sont responsables de plus de 30% des cyberattaques ciblées contre les entreprises en 2025.

La dernière version corrige cinq failles de sécurité distinctes, trois d’entre elles étant classées comme de gravité élevée en raison de leur potentiel de corruption mémoire et d’exécution de code à distance. Parmi celles-ci, le problème le plus critique est CVE-2025-12725, une faille découverte dans WebGPU, l’interface de traitement graphique de Chrome. Cette vulnérabilité représente un risque significatif pour les utilisateurs qui ne mettraient pas à jour leur navigateur rapidement.

La faille WebGPU (CVE-2025-12725)

Cette vulnérabilité, causée par une erreur d’écriture hors limites (out-of-bounds write error), pourrait permettre à un code malveillant d’écraser la mémoire système cruciale et d’exécuter des commandes arbitraires. Un chercheur en sécurité anonyme a découvert CVE-2025-12725 le 9 septembre 2025. Google a restreint les détails techniques de l’exploitation pour empêcher les attaquants de l’utiliser avant que la majorité des utilisateurs n’aient appliqué la mise à jour.

« Nous avons observé dans la pratique que les détails techniques complets des vulnérabilités sont souvent exploités dans les 72 heures suivant leur publication publique », déclare un expert de l’ANSSI. « C’est pourquoi la politique de restriction temporaire des détails d’exploitation par Google est une mesure de défense appropriée. »

Autres vulnérabilités de haute gravité

Deux autres vulnérabilités de haute gravité ont également été corrigées. CVE-2025-12726, signalée par le chercheur Alesandro Ortiz le 25 septembre, implémente une inappropriation dans le composant Views de Chrome, la partie responsable de l’interface utilisateur du navigateur. Par ailleurs, CVE-2025-12727, identifiée par le chercheur 303f06e3 le 23 octobre, affecte le moteur JavaScript V8 de Chrome, le cœur de l’environnement d’exécution et des performances du navigateur.

Les deux CVE-2025-12726 et CVE-2025-12727 pourraient permettre aux attaquants de manipuler la mémoire et potentiellement d’exécuter un code malveillant à distance. Selon les évaluations internes de Google, ces vulnérabilités ont reçu des scores CVSS 3.1 de 8,8, indiquant un risque direct. Pour mettre ces chiffres en perspective, une vulnérabilité avec un score CVSS supérieur à 7,0 est considérée comme critique et nécessite une mise à immédiate.

Vulnérabilités de gravité moyenne dans l’Omnibox

Aux côtés de ces correctifs critiques, Google a adressé deux vulnérabilités de gravité moyenne dans l’Omnibox de Chrome, la barre de recherche et d’adresse combinée. CVE-2025-12728, signalée par Hafiizh, et CVE-2025-12729, découverte par Khalil Zhani, proviennent toutes deux d’implémentations inappropriées qui pourraient conduire à une exposition de données ou à une manipulation de l’interface utilisateur.

Bien que moins graves que les failles WebGPU ou V8, ces problèmes méritent toujours des mises à jour utilisateur promptes pour empêcher toute potentielle mauvaise utilisation. Selon Google, les versions concernées sont :

  • Bureau (Windows, macOS, Linux) : Version 142.0.7444.134/.135
  • Android : Version 142.0.7444.138

Google a souligné que la version Android contient les mêmes correctifs de sécurité que ses homologues de bureau. Le déploiement se poursuivra au cours des prochains jours et semaines dans le cadre du processus de déploiement progressif de l’entreprise.

Recommandations pour les utilisateurs

Il est recommandé à tous les utilisateurs de mettre à jour Chrome immédiatement. Les utilisateurs de bureau doivent se rendre dans Paramètres → À propos de Chrome pour vérifier la version 142.0.7444.134 ou ultérieure, tandis que les utilisateurs Android peuvent vérifier les mises à jour via le Google Play Store. L’activation des mises à jour automatiques est fortement conseillée pour s’assurer que les futurs correctifs sont appliqués dès leur sortie.

Voici les étapes concrètes pour assurer la sécurité de votre navigateur :

  1. Vérifiez votre version actuelle de Chrome :

    • Sur Windows/macOS/Linux : Menu → Paramètres → À propos de Chrome
    • Sur Android : Google Play Store → Chrome → Vérifier les mises à jour

  2. Activez les mises à jour automatiques :

    • Dans les paramètres de Chrome, assurez-vous que “Mettre à jour Chrome automatiquement” est activé

  3. Redémarrez le navigateur après installation de la mise à jour

Même si les deux vulnérabilités de l’Omnibox (CVE-2025-12728 et CVE-2025-12729) sont moins critiques, retarder les mises à jour peut encore exposer les utilisateurs à des risques de phishing ou d’injection à travers des interfaces de navigateur manipulées.

Bonnes pratiques de cybersécurité pour les navigateurs

Au-delà de la mise à immédiate de Chrome, plusieurs pratiques de sécurité renforcent votre protection en ligne :

  • Maintenez tous vos logiciels à jour : Les vulnérabilités ne concernent pas seulement Chrome mais aussi les extensions, plugins et autres applications.
  • Utilisez des gestionnaires de mots de passe robustes : Évitez de réutiliser des mots de passe et privilégiez l’authentification multi-facteurs.
  • Soyez vigilant avec les e-mails et liens suspects : La formation des utilisateurs reste la première ligne de défense contre le phishing.
  • Considérez l’utilisation d’un bloqueur de publicité et de script : Cela peut réduire l’attaque potentielle.

Dans le contexte français, l’ANSSI recommande également de :

« Appliquer le principe du moindre privilège et limiter l’utilisation des navigateurs avec des droits d’administrateur, ce qui réaurait considérablement l’impact potentiel d’une exploitation réussie. »

Conclusion et prochaines étapes

La mise à jour d’urgence Chrome 142 souligne l’importance cruciale de maintenir ses logiciels à jour face aux cybermenaces persistantes. Avec cinq vulnérabilités corrigées, dont trois de haute gravité, cette version démontre la vigilance constante de Google dans la protection de ses utilisateurs.

La restriction temporaire des détails techniques d’exploitation par Google illustre une pratique de sécurité responsable qui permet aux utilisateurs de se protéger avant que les informations ne soient exploitées par des acteurs malveillants. Dans le paysage cyberactuel de 2025, où les attaques se sophistiquent constamment, cette approche proactive est essentielle.

Nous vous recommandons vivement d’appliquer cette mise à jour dès que possible et de rester informé des futures corrections de sécurité. La cybersécurité est un effort continu, et chaque étape prise pour sécuriser votre environnement numérique contribue à une expérience en ligne plus sûre pour tous.