Le 20 mai, Google a rendu publics les détails complets d’une vulnérabilité Chromium qu’il n’avait pas corrigée. La chercheuse indépendante Lyra Rebane est tombée des nues : en testant ce qu’elle croyait être un patch enfin déployé, elle a constaté que la faille tournait toujours. Et que sur Microsoft Edge, l’exploitation était même devenue parfaitement silencieuse.
Le problème est niché dans la Browser Fetch API, une fonction de Chromium qui permet à un site de continuer un gros téléchargement en arrière-plan, même quand on change d’onglet. Pour ça, le navigateur s’appuie sur un Service Worker, un petit script JavaScript qui tourne en tâche de fond, sans interface visible.
Concrètement, le scénario tient en trois étapes. Un site malveillant enregistre discrètement un Service Worker dès la première visite. Ce script déclenche ensuite une tâche de téléchargement en arrière-plan via la Browser Fetch API, puis l’annule et la relance toutes les vingt secondes — assez vite pour que le navigateur n’affiche jamais la barre de progression, mais assez lentement pour maintenir le worker actif indéfiniment. Le navigateur devient alors joignable par un serveur de commande tiers, sans qu’aucune fenêtre ne s’ouvre côté utilisateur.
Concrètement : n’importe quel site visité une seule fois peut transformer le navigateur en relais d’un mini-botnet. Et la liste des navigateurs concernés est longue : Chrome, Edge, Brave… Firefox et Safari, qui ne supportent pas cette API, passent à travers.
Un patch qui n’en était pas un
L’historique est gratiné. Le bug a été signalé fin 2022 par Lyra Rebane, classé P1/S2 par les ingénieurs Chromium eux-mêmes, l’avant-dernier cran avant une critique maximale.
Trois mois plus tard, l’interface visible (la barre de téléchargement) est corrigée, mais le cœur du problème, la possibilité de maintenir un Service Worker en vie indéfiniment, reste ouvert.
Le 20 mai 2026, soit 42 mois après le signalement, Google rouvre publiquement le ticket sans prévenir. Le code de l’exploit se retrouve en clair sur le web.
Google referme l’entrée en urgence, trop tard : elle a déjà été archivée et circule librement.
Pire, CSO Online rapporte que sur Microsoft Edge, le Service Worker malveillant peut survivre à la fermeture du navigateur, voire à un redémarrage de la machine. Plus aucun signal visible côté utilisateur.
Lyra Rebane elle-même tempère : « l’exploitation est désormais assez facile, mais monter une opération à grande échelle demande encore une infrastructure dédiée ». Pour nous, le risque reste donc indirect (botnet, pistage, redirection), mais le code est public et la cible se compte en milliards d’utilisateurs (Chrome représente à lui seul plus de 3 milliards d’installations dans le monde).
En attendant le correctif d’urgence que Google ne devrait plus pouvoir retarder, garder son navigateur à jour reste le minimum, et un détour temporaire par Firefox ou Safari ne fera de mal à personne.
À noter : Google a reconnu la fuite et indiqué qu’un correctif était en préparation, sans communiquer de date. En attendant, les entreprises peuvent restreindre l’usage des Service Workers via leurs politiques de navigation, et les utilisateurs avancés désactiver les fonctions de background fetch quand l’option est disponible.
Pour ne rater aucun bon plan, rejoignez notre nouveau channel WhatsApp Frandroid Bons Plans, garanti sans spam !
Ce contenu est bloqué car vous n'avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Disqus.
Pour pouvoir le visualiser, vous devez accepter l'usage étant opéré par Disqus avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l'amélioration des produits d'Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l'audience de ce site (en savoir plus)
En cliquant sur « J’accepte tout », vous consentez aux finalités susmentionnées pour l’ensemble des cookies et autres traceurs déposés par Humanoid et .
Vous gardez la possibilité de retirer votre consentement à tout moment. Pour plus d’informations, nous vous invitons à prendre connaissance de notre Politique cookies.