Google a annoncé avoir bouché une faille de sécurité critique dans son navigateur Chrome pour Windows, exploitée par des hackers pour espionner des ordinateurs. Identifiée sous le code CVE-2025-2783, cette faille a été découverte par les experts de Kaspersky.
Une faille zero-day dans Chrome
Google a confirmé avoir résolu le problème, tout en reconnaissant que des attaques exploitant ce bug avaient été observées dans la nature. De type zero-day, cette vulnérabilité a été utilisée avant même que Google ne puisse la corriger, une pratique courante dans les cyberattaques sophistiquées.
Selon Kaspersky, les pirates ont mené une campagne baptisée Operation ForumTroll, ciblant des utilisateurs Windows via de faux e-mails. Ces messages, prétendument liés à un sommet politique russe, redirigeaient les victimes vers un site malveillant exploitant immédiatement la faille pour s’introduire dans leur système.
Bien que les détails techniques restent limités, Kaspersky a indiqué que cette vulnérabilité contournait les protections sandbox de Chrome, normalement conçues pour isoler le navigateur du reste de l’ordinateur. Une analyse complémentaire suggère une motivation d’espionnage, avec pour objectif la collecte discrète de données sur le long terme.
Google recommande aux utilisateurs de mettre à jour Chrome sans délai. Le correctif est inclus dans les versions 134.0.6998.177 et 134.0.6998.178
Situation similaire sur Firefox
Mozilla a alerté les utilisateurs de Firefox d’une faille de sécurité (CVE-2025-2857), confirmant qu’elle avait aussi été exploitée par des hackers. Mozilla dit que la faille concernant son navigateur est similaire dans le fonctionnement à celle de Chrome. Elle aussi est de type zero-day.
Un correctif est disponible dès maintenant avec la mise à jour Firefox 136.0.4.
