Mercredi 20 mai 2026, les équipes de Google ont commis une bévue monumentale sur leur propre gestionnaire de bugs. Ils ont passé en mode public les détails et le code de démonstration d’une faille de sécurité majeure répertoriée sous l’identifiant 40062121. Une bourde d’autant plus embarrassante que la faille n’est absolument pas corrigée, mettant danger des millions d’utilisateurs.
Une bombe à retardement
Découverte à la fin de l’année 2022 par la chercheuse en sécurité Lyra Rebane, cette faille sommeillait dans les cartons de Google depuis. Bien que classée au niveau S1, soit le deuxième niveau de gravité le plus élevé de la firme de Mountain View, elle a été tout simplement oubliée.
En voyant le ticket devenir public mercredi matin, Lyra Rebane a d’abord cru à une bonne nouvelle, pensant que les équipes de Chromium avaient enfin déployé une mise à jour. Mais elle est rapidement passée de la joie à la terreur : la vulnérabilité est toujours parfaitement fonctionnelle. Bien que Google ait rapidement fait machine arrière en repassant le ticket en mode privé, le mal est fait. Le code d’exploitation a déjà été massivement aspiré par des sites d’archivage et circule librement sur le net.
Comment votre navigateur peut devenir un zombie
Le problème technique se situe au niveau de la Background Fetch API (ou Browser Fetch). Pour l’utilisateur, ce composant logiciel standard est très utile : il permet à un navigateur de continuer à télécharger un fichier volumineux ou une longue vidéo en arrière-plan, même si vous fermez l’onglet concerné. C’est l’assurance d’un confort de navigation sans coupure.
Sauf qu’ici, l’exploit détourne cette fonctionnalité logicielle pour ouvrir un service worker (un script qui tourne en tâche de fond) persistant. Concrètement, un attaquant n’a besoin d’aucun téléchargement malveillant, d’aucune validation de permission ni d’aucun pop-up pour vous piéger. Il lui suffit d’intégrer un simple JavaScript sur un site web. Lorsque vous visitez cette page, votre navigateur établit une connexion permanente avec un serveur distant.
À partir de là, votre machine peut être enrôlée de force dans un botnet, ces réseaux de machines zombies. Votre navigateur peut servir de proxy anonyme pour masquer le trafic de cybercriminels, participer à des attaques par déni de service (DDoS) ou surveiller votre navigation. Pire encore : selon le navigateur web utilisé, cette connexion masquée survit au redémarrage de l’application, et parfois même au redémarrage complet de votre ordinateur.
En revanche, il faudrait une seconde faille pour que des hackers puissent lire librement les fichiers, casser des mots de passe ou exécuter n’importe quel programme sur votre PC.
Des millions d’utilisateurs sur le carreau
La liste des victimes potentielles donne le vertige, puisque le moteur Chromium règne en maître absolu. On le trouve dans Google Chrome, Microsoft Edge, Brave, Opera, Vivaldi ou encore Arc.
Sur Microsoft Edge, l’attaque s’avère particulièrement redoutable et invisible, puisque le menu déroulant des téléchargements ne s’affiche même pas. Sur Chrome, ce menu peut apparaître brièvement avant de disparaître, mais la plupart des utilisateurs novices confondront cela avec un simple bug d’affichage.
Pour l’instant, les seuls à laisser passer la tempête avec le sourire sont les utilisateurs de Firefox et Safari. Les navigateurs d’Apple et de Mozilla n’intègrent pas cette API de téléchargement en arrière-plan et sont donc totalement immunisés.
Dans le fil de discussion privé cité par Ars Technica, un développeur Chromium a tenté de rassurer en indiquant que l’utilisation légitime de cette API restait très marginale, « environ 17 fichiers complétés par utilisateur et par jour sur Chrome », limitant les risques d’une exploitation de masse immédiate.
Cependant, Lyra Rebane tempère et avertit sur le sens profond de cette affaire : « Le côté dangereux ici, c’est que vous pouvez juste regrouper un grand nombre de navigateurs différents pour, à l’avenir, exécuter un programme malveillant dessus ». En clair, l’armée de zombies est prête, il ne manque plus qu’une seconde faille pour lui donner les pleins pouvoirs sur vos machines.
Rejoignez-nous de 17 à 19h, un mercredi sur deux, pour l’émission UNLOCK produite par Frandroid et Numerama ! Actus tech, interviews, astuces et analyses… On se retrouve en direct sur Twitch ou en rediffusion sur YouTube !
Ce contenu est bloqué car vous n'avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Disqus.
Pour pouvoir le visualiser, vous devez accepter l'usage étant opéré par Disqus avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l'amélioration des produits d'Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l'audience de ce site (en savoir plus)
En cliquant sur « J’accepte tout », vous consentez aux finalités susmentionnées pour l’ensemble des cookies et autres traceurs déposés par Humanoid et .
Vous gardez la possibilité de retirer votre consentement à tout moment. Pour plus d’informations, nous vous invitons à prendre connaissance de notre Politique cookies.