En bref

  • Google corrige une faille zero-day critique (CVE-2026-5281) dans le moteur WebGPU Dawn de Chrome, activement exploitée dans la nature
  • Tous les navigateurs basés sur Chromium sont concernés : Chrome, Edge, Brave, Opera, Vivaldi
  • Mise à jour immédiate vers Chrome 146.0.7680.177/178 requise — CISA impose un correctif avant le 15 avril 2026

Les faits

Le 1er avril 2026, Google a publié un correctif de sécurité pour Chrome couvrant 21 vulnérabilités, dont la CVE-2026-5281 — une faille de type use-after-free dans Dawn, lu0027implémentation open source du standard WebGPU. Dans un advisory inhabituellement direct, Google a confirmé que « un exploit pour CVE-2026-5281 existe dans la nature ». La faille permet à un attaquant ayant compromis le processus de rendu du navigateur du0027exécuter du code arbitraire via une page HTML spécialement conçue.

Le 1er avril 2026, la CISA a ajouté cette CVE à son catalogue KEV (Known Exploited Vulnerabilities), imposant aux agences fédérales américaines du0027appliquer le correctif avant le 15 avril 2026. Cu0027est le quatrième zero-day Chrome activement exploité depuis le début de lu0027année 2026, confirmant une tendance du0027accélération des attaques ciblant les navigateurs. Selon SOCRadar, les campagnes du0027exploitation observées utilisent des pages web piégées distribuées par phishing ciblé.

Impact et exposition

Avec plus de 3,5 milliards du0027utilisateurs de navigateurs Chromium dans le monde, la surface du0027attaque est massive. La vulnérabilité affecte toutes les versions de Chrome antérieures à 146.0.7680.177 sur Linux et 146.0.7680.177/178 sur Windows et macOS. Les navigateurs dérivés de Chromium — Microsoft Edge, Brave, Opera et Vivaldi — sont également vulnérables tant que leurs éditeurs respectifs nu0027ont pas intégré le correctif. Lu0027exploitation nécessite que lu0027utilisateur visite une page malveillante, ce qui rend les campagnes de phishing par email particulièrement dangereuses dans ce contexte.

Recommandations

  • Mettre à jour Chrome immédiatement vers la version 146.0.7680.177 (Linux) ou 146.0.7680.178 (Windows/macOS) via chrome://settings/help
  • Vérifier la version de tous les navigateurs Chromium déployés dans votre parc — un EDR correctement configuré peut détecter les tentatives du0027exploitation
  • Sensibiliser les utilisateurs aux risques de phishing ciblé utilisant des pages web piégées
  • Surveiller les journaux réseau pour détecter les connexions sortantes suspectes post-navigation

Alerte critique

Cette vulnérabilité est activement exploitée. La CISA exige un correctif avant le 15 avril 2026. Si votre organisation utilise Chrome ou un navigateur Chromium, appliquez la mise à jour sans attendre le prochain cycle de patch management.

Comment vérifier si mon navigateur est vulnérable à CVE-2026-5281 ?

Ouvrez Chrome et accédez à chrome://settings/help. Si votre version est inférieure à 146.0.7680.177 (Linux) ou 146.0.7680.178 (Windows/macOS), vous êtes vulnérable. Le navigateur lancera automatiquement la mise à jour si elle est disponible. Pour les environnements gérés, vérifiez vos politiques de déploiement de mises à jour.

Les extensions de navigateur peuvent-elles protéger contre cette faille ?

Non. La vulnérabilité se situe dans le moteur de rendu WebGPU de Chrome, en dessous de la couche des extensions. Seule la mise à jour du navigateur corrige le problème. Les extensions de sécurité comme uBlock Origin peuvent réduire lu0027exposition en bloquant certains domaines malveillants, mais elles ne constituent pas une protection contre lu0027exploit lui-même.

Votre infrastructure est-elle exposée ?

Ayi NEDJIMI réalise des audits de sécurité ciblés pour identifier et corriger vos vulnérabilités avant quu0027elles ne soient exploitées.

Demander un audit