Google n’a pas attendu son calendrier habituel. Le 14 mai, la firme a diffusé une mise à jour de sécurité en urgence pour son navigateur Chrome. En cause : quatre failles découvertes, dont une jugée critique. Repérée par le chercheur Vsevolod Kokorin, cette brèche permet à des sites malveillants d’accéder à des informations confidentielles. Pire, un exploit circulerait déjà sur la toile.
La faille, identifiée sous le code CVE-2025-4664, exploite une mauvaise gestion par Chrome de certaines requêtes de contenu externe. Elle permet à un site distant de récupérer l’adresse complète de la page visitée, y compris les paramètres sensibles contenus dans l’URL. Une aubaine pour détourner des jetons d’authentification ou des identifiants transmis dans certaines étapes de connexion.
Une attaque discrète mais redoutable
Le danger ne vient pas forcément du site visité. Il suffit qu’un contenu extérieur soit intégré — image, publicité, module embarqué — pour déclencher la fuite. Le serveur tiers, contrôlé par un acteur malveillant, envoie un en-tête HTTP qui pousse Chrome à transmettre les informations sensibles. Ce comportement contourne les règles de sécurité classiques du web.
L’exploitation de cette faille ne requiert aucune interaction de l’utilisateur. Elle se déclenche à l’ouverture d’une page contenant une ressource compromise. Des données critiques peuvent alors être aspirées en silence.
Trois autres failles corrigées dans la foulée
Outre cette brèche, Google a corrigé trois autres vulnérabilités. Parmi elles, CVE-2025-4609, touchant le composant Mojo, clé dans la communication interne de Chrome. Son exploitation potentielle reste floue, mais elle est classée comme sérieuse.
La mise à jour corrige ces failles dans les versions 136.0.7103.113 (Windows/Linux) et 136.0.7103.114 (macOS). Elle est en cours de déploiement automatique, mais peut être activée manuellement via les paramètres du navigateur.
Un redémarrage peut suffire à vous protéger
Si une notification vous demande de redémarrer Chrome, ne l’ignorez pas. Le correctif n’est actif qu’après redémarrage complet. Et puisque la faille est déjà exploitée selon Google, mieux vaut ne pas attendre. Aucune précision n’a été donnée sur les campagnes en cours, mais le risque est réel.
Les utilisateurs sont donc appelés à réagir rapidement. En matière de cybersécurité, quelques secondes suffisent à faire toute la différence.
