Google divulgue par erreur le code d'exploitation d'une faille de sécurité majeure qui menace des millions d'utilisateurs de navigateurs basés sur Chromium,

Les exposant à l'espionnage et à des attaques DDoS

Google divulgue par erreur le code d'exploitation d'une faille de sécurité majeure qui menace des millions d'utilisateurs de navigateurs basés sur Chromium
les exposant à l'espionnage et à des attaques DDoS

Google a récemment divulgué par erreur un code d'exploitation pour une faille de sécurité majeure affectant le moteur Chromium. Ce défaut technique, qui persiste depuis plus de deux ans sans correctif, permet à des sites malveillants d'intégrer des appareils dans un botnet via l'interface de téléchargement en arrière-plan. Les navigateurs tels que Chrome et Microsoft Edge sont particulièrement exposés, car la connexion peut rester active même après un redémarrage du système d'exploitation. Ce qui laisse des millions d'utilisateurs vulnérables. La portée de l'attaque est limitée aux capacités du navigateur, mais elle facilite l'espionnage et les attaques DDoS.

La faille de sécurité en question a été signalée de manière confidentielle à Google fin 2022 par la chercheuse indépendante Lyra Rebane. Alors que la faille attend toujours un correctif, Google a publié par erreur le code d'exploitation, menaçant ainsi des millions d'utilisateurs. Bien que l'entreprise ait rapidement supprimé la publication, le code d'exploitation demeure accessible sur des sites d'archivage. Ce qui constitue une menace majeure.

Cette erreur expose les utilisateurs de presque tous les navigateurs basés sur Chromium, incluant Google Chrome, Microsoft Edge, Brave, Opera, Vivaldi et Arc. En revanche, Firefox et Safari ne sont pas concernés puisque ces deux navigateurs ne prennent pas en charge la fonctionnalité impliquée.

Mécanisme technique de cette vulnérabilité critique

L'attaque repose sur l'exploitation de l'API "Browser Fetch", un standard utilisé pour permettre le téléchargement de fichiers volumineux ou de longues vidéos en arrière-plan. Un attaquant peut utiliser cette faille pour établir une connexion afin de surveiller certains aspects de l'utilisation du navigateur par l'utilisateur, mais aussi pour servir de proxy permettant de consulter des sites et de lancer des attaques par déni de service distribué (DDoS).


N'importe quel site Web visité par l'utilisateur peut exploiter cette faille en utilisant du code JavaScript pour activer un processus en arrière-plan (service worker) extrêmement persistant. Selon le navigateur, la connexion peut se rouvrir ou rester active même après le redémarrage du logiciel ou de l'appareil.

« Le danger ici, c’est qu’il suffit de regrouper un grand nombre de navigateurs différents sur lesquels on pourra, à l’avenir, exécuter un programme que l’on aura mis au point », a déclaré Lyra Rebane. D'après la chercheuse, il serait « assez facile » d’utiliser le code d’exploitation publié accidentellement par Google, même si le faire évoluer pour regrouper un grand nombre d’appareils au sein d’un seul réseau demanderait davantage de travail.

Dans le fil de discussion consacré à la divulgation de Lyra Rebane à Google, deux développeurs ont déclaré dans des réponses distinctes qu’il s’agissait d’une « vulnérabilité grave ». Sa gravité a été classée S1, le deuxième niveau le plus élevé. Cependant, son correctif a pris beaucoup de temps, possiblement parce que la faille ne permet pas d'accéder directement aux courriels ou à l'ordinateur de l'utilisateur de manière traditionnelle.

Conséquences et risques d'infection

En exploitant cette vulnérabilité, un attaquant crée une porte dérobée qui transforme l'appareil de la victime en une partie d'un réseau d'ordinateurs zombies (botnet). Selon les experts en sécurité, le plus grand danger est qu'un attaquant parvienne à regrouper des milliers, voire des millions d'appareils au sein de ce réseau, dans l'attente de découvrir une seconde vulnérabilité qui permettrait de compromettre totalement ces machines.

Du point de vue de la victime, cette infection est particulièrement furtive et peut se manifester par l'apparition inexpliquée d'une fenêtre déroulante de téléchargement vide, un comportement que les utilisateurs moins expérimentés risquent de confondre avec un simple bogue inoffensif.

Cette erreur de publication place les internautes face à une menace concrète alors qu'aucune solution logicielle n'a encore été déployée par Google. Les experts recommandent une vigilance accrue envers les comportements suspects des fenêtres de téléchargement en attendant une mise à jour de sécurité.

Source : billet de blogue

Et vous ?

Que pensez-vous de cette faille de sécurité critique ?
Cette vulnérabilité reste sans correctif depuis fin 2022. Qu'en pensez-vous ?

Voir aussi

Des identifiants confidentiels de l'Agence américaine de cybersécurité (CISA) ont été découverts dans un dépôt GitHub public. Clés SSH, mots de passe en clair et autres données sensibles depuis 2025

Mozilla s'adresse aux autorités de régulation britanniques : les VPN sont des outils essentiels pour la confidentialité et la sécurité, après le vote sur la vérification d'âge pour les VPN

L'ère des Chromebooks est révolue : Googlebook intègre Gemini dans un ordinateur portable, prêt à vous détourner d'Apple et de Microsoft, le système d'exploitation serait Android