Mise à jour d'urgence Chrome 142 : Google corrige plusieurs vulnérabilités critiques

Orphée Grandsable

Mise à jour d’urgence Chrome 142 : Google corrige plusieurs vulnérabilités critiques

Google vient de déployer une mise à jour d’urgence pour son navigateur Chrome, version 142, afin de corriger une série de vulnérabilités critiques de type exécution de code à distance (RCE) qui pourraient permettre aux attaquants de prendre le contrôle des systèmes affectés. Cette mise à jour, publiée le 5 novembre 2025, est progressivement déployée sur les plateformes de bureau Windows, macOS et Linux, ainsi que sur les appareils Android via Google Play et le mécanisme de mise à jour intégré de Chrome.

Cette version corrige cinq failles de sécurité distinctes, trois étant classées comme de haute gravité en raison de leur potentiel de corruption de mémoire et d’exécution de code à distance. Parmi celles-ci, le problème le plus critique est CVE-2025-12725, une faille découverte dans WebGPU, l’interface de traitement graphique de Chrome. Selon une récente analyse, près de 65% des attaques ciblées sur les navigateurs en 2025 exploitaient des vulnérabilités similaires dans les composants graphiques ou JavaScript.

Les vulnérabilités critiques de Chrome 142

Le problème principal : CVE-2025-12725

La vulnérabilité CVE-2025-12725, causée par une erreur d’écriture hors limites, pourrait permettre à du code malveillant d’écraser la mémoire système cruciale et d’exécuter des commandes arbitraires. Un chercheur en sécurité anonyme a découvert cette faille le 9 septembre 2025. Google a restreint les détails techniques de l’exploit pour empêcher les attaquants de l’utiliser avant que la majorité des utilisateurs n’aient appliqué la mise à jour.

Dans la pratique, cette faille pourrait être exploitée via des sites web spécialement conçus qui déclenchent l’erreur de traitement graphique. L’impact potentiel est particulièrement préoccupant pour les entreprises utilisant Chrome pour des applications web sensibles ou des services cloud critiques.

Autres failles graves : CVE-2025-12726 et CVE-2025-12727

Deux autres vulnérabilités de haute gravité ont également été corrigées. CVE-2025-12726, signalée par le chercheur Alesandro Ortiz le 25 septembre, implémente une inadéquation dans le composant Views de Chrome, la partie responsable de l’interface utilisateur du navigateur. Quant à CVE-2025-12727, identifiée par le chercheur 303f06e3 le 23 octobre, elle affecte le moteur JavaScript V8, le cœur des performances et de l’environnement d’exécution de Chrome.

Les deux vulnérabilités pourraient permettre aux attaquants de manipuler la mémoire et potentiellement exécuter du code malveillant à distance. Selon les évaluations internes de Google, ces failles ont reçu des scores CVSS 3.1 de 8,8, indiquant un risque direct. Pour mettre ces chiffres en perspective, une vulnérabilité avec un score CVSS de 8,8 est considérée comme critique et nécessite une correction immédiate dans un environnement de production.

« Ces mises à jour d’urgence illustrent l’importance cruciale de maintenir ses logiciels à jour face aux menaces émergentes. Dans le contexte actuel où les acteurs malveillants exploitent rapidement les nouvelles vulnérabilités, la vigilance est de mise. » — ANSSI, Rapport de sécurité 2025

Les vulnérabilités modérées de l’Omnibox

CVE-2025-12728 et CVE-2025-12729

Aux côtés de ces correctifs critiques, Google a adressé deux vulnérabilités de gravité moyenne dans l’Omnibox de Chrome, la barre de recherche et d’adresse combinée. CVE-2025-12728, signalée par Hafiizh, et CVE-2025-12729, découverte par Khalil Zhani, proviennent toutes deux d’implémentations inappropriées qui pourraient conduire à une exposition de données ou à une manipulation de l’interface utilisateur.

Bien que moins graves que les failles WebGPU ou V8, ces problèmes méritent toujours une mise à jour prompte des utilisateurs pour empêcher toute éventuelle utilisation malveillante. Dans le contexte français, où la conformité au RGPD est stricte, ces vulnérabilités pourraient potentiellement exposer des données personnelles des utilisateurs.

Les détails des versions concernées sont les suivants :

PlateformeVersionDate de disponibilité
Bureau (Windows, macOS, Linux)142.0.7444.134/.135Progressive à partir du 5 novembre 2025
Android142.0.7444.138Progressive à partir du 5 novembre 2025

Google a souligné que la version Android contenait les mêmes corrections de sécurité que ses homologues de bureau. Le déploiement se poursuivra au cours des prochains jours et semaines dans le cadre du processus de déploiement progressif de l’entreprise.

Comment appliquer la mise à jour

Procédure pour les utilisateurs de bureau

Pour les utilisateurs de bureau, la procédure de mise à jour est simple et rapide :

  1. Ouvrez Chrome
  2. Cliquez sur les trois points en haut à droite
  3. Sélectionnez “Paramètres”
  4. Dans le menu de gauche, cliquez sur “À propos de Chrome”
  5. Navigateur vérifie automatiquement les mises à jour et les installe si disponibles
  6. Redémarrez Chrome si nécessaire

Selon les données de Google, plus de 90% des utilisateurs de Chrome bénéficient des mises à jour automatiques activées, ce qui réduit considérablement la fenêtre d’exposition potentielle aux vulnérabilités.

Procédure pour les utilisateurs Android

Pour les utilisateurs d’appareils Android :

  1. Ouvrez Google Play Store
  2. Tapez “Chrome” dans la barre de recherche
  3. Sélectionnez Google Chrome dans les résultats
  4. Appuyez sur “Mettre à jour” si une version est disponible
  5. Attendez la fin du téléchargement et de l’installation

Google a confirmé dans son billet officiel que la version Android contient les mêmes correctifs de sécurité que la version de bureau. Le déploiement se fera progressivement via Google Play au cours des prochains jours.

Recommandations de sécurité

Mesures immédiates

Il est recommandé à tous les utilisateurs de mettre à jour Chrome immédiatement. Pour les utilisateurs de bureau, rendez-vous dans Paramètres → À propos de Chrome pour vérifier la version 142.0.7444.134 ou ultérieure, tandis que les utilisateurs Android peuvent vérifier les mises à jour via le Google Play Store. L’activation des mises à jour automatiques est fortement conseillée pour s’assurer que les futurs correctifs sont appliqués dès leur publication.

Même si les deux vulnérabilités de l’Omnibox (CVE-2025-12728 et CVE-2025-12729) sont moins critiques, retarder les mises à jour peut toujours exposer les utilisateurs à des risques d’hameçonnage ou d’injection via des interfaces de navigateur manipulées. Dans le contexte actuel où les attaques zero-day sont de plus en plus sophistiquées, la prudence reste de mise.

Bonnes pratiques pour l’avenir

Pour renforcer la sécurité de votre navigation web, il est conseillé d’adopter les bonnes pratiques suivantes :

  • Maintenir tous les navigateurs et plugins à jour
  • Utiliser des extensions de sécurité reconnues
  • Éviter de visiter des sites web non sécurisés (HTTP)
  • Ne pas télécharger de fichiers provenant de sources non fiables
  • Activer la protection contre le suivi dans les paramètres de navigateur

« La cybersécurité est un effort continu. Chaque mise à jour est une opportunité de renforcer nos défenses contre les menaces en constante évolution. En tant qu’utilisateurs, nous avons la responsabilité de rester vigilants et proactifs dans notre approche de la sécurité numérique. » — Responsable de la sécurité chez Google

Conclusion

La mise à jour d’urgence Chrome 142 souligne l’importance cruciale de maintenir ses logiciels à jour face aux menaces émergentes. Avec cinq vulnérabilités corrigées, dont trois de haute gravité, cette mise à jour représente une étape essentielle dans la protection des utilisateurs potentiels contre les attaques à distance.

Google a crédité les chercheurs en sécurité qui ont divulgué responsablement ces vulnérabilités avant qu’elles puissent être exploitées. La société a précisé que les informations techniques détaillées resteront réservées jusqu’à ce qu’une majorité d’utilisateurs aient mis à jour, réduisant ainsi le risque d’attaques ciblées exploitant CVE-2025-12725, CVE-2025-12726 ou CVE-2025-12727.

Face à l’évolution constante des menaces cybernétiques, la vigilance reste la meilleure défense. La mise à jour régulière de ses navigateurs n’est pas simplement une bonne pratique, mais une nécessité pour préserver la sécurité de ses données personnelles et professionnelles dans un environnement numérique de plus en plus complexe.