Google a déployé des mises à jour de sécurité d’urgence pour corriger une nouvelle faille critique dans son navigateur Chrome. Cette vulnérabilité, référencée sous l’identifiant CVE-2025-10585, est déjà exploitée dans des attaques ciblées et constitue le sixième zero-day corrigé par Google depuis le début de l’année.
Une faille critique dans le moteur V8 de Chrome
La vulnérabilité provient d’une faiblesse de type confusion dans le moteur V8 JavaScript, qui gère l’exécution de code au sein du navigateur. Ce type de faille permet à des attaquants de contourner certaines protections et, dans le pire des cas, de prendre le contrôle de l’appareil de la victime.
Signalée par le Threat Analysis Group (TAG) de Google, cette faille représente une menace sérieuse pour les utilisateurs à haut risque, tels que les journalistes, opposants politiques et dissidents, souvent visés par des campagnes de cybersurveillance sponsorisées par des États.
Une mise à jour déjà disponible
Google a réagi rapidement en publiant une mise à jour corrective :
- Version 140.0.7339.185/.186 pour Windows et Mac
- Version 140.0.7339.185 pour Linux
Ces mises à jour sont en cours de déploiement sur le canal Stable Desktop, mais les utilisateurs peuvent forcer leur installation en suivant ces étapes :
- Ouvrir le menu Chrome
- Aller dans Aide > À propos de Google Chrome
- Lancer la mise à jour et cliquer sur Relancer pour appliquer le correctif
Sixième zero-day Chrome corrigé en 2025
Depuis janvier 2025, Google a déjà corrigé cinq autres failles zero-day exploitées activement :
| Référence | Type de vulnérabilité | Date de correction |
|---|---|---|
| CVE-2025-2783 | Évasion de sandbox | Mars 2025 |
| CVE-2025-4664 | Détournement de comptes | Mai 2025 |
| CVE-2025-5419 | Lecture/écriture hors limites | Juin 2025 |
| CVE-2025-6558 | Évasion de sandbox | Juillet 2025 |
| CVE-2025-10585 | Confusion de type (V8) | Septembre 2025 |
Pourquoi ces mises à jour sont cruciales
Les failles zero-day représentent une menace majeure, car elles sont exploitées avant même que le correctif ne soit disponible. Les pirates peuvent ainsi :
- Installer des malwares ou des spywares
- Exfiltrer des données sensibles
- Contourner les protections de sandbox
- Cibler des victimes spécifiques à des fins d’espionnage
Google a confirmé que CVE-2025-10585 est déjà exploitée dans la nature, mais les détails restent volontairement limités afin d’éviter une exploitation massive avant que la majorité des utilisateurs aient installé le correctif.
Comment se protéger immédiatement
Pour réduire les risques d’attaque :
- Mettre à jour Chrome dès maintenant
- Vérifier régulièrement que le navigateur est en dernière version
- Éviter d’installer des extensions non vérifiées
- Utiliser un antivirus et un firewall actifs
- Surveiller les comportements suspects sur son ordinateur
Conclusion
Cette nouvelle faille confirme une tendance inquiétante : les attaques zero-day sont en hausse et ciblent de plus en plus des utilisateurs stratégiques. La réactivité de Google reste un point positif, mais la vigilance des utilisateurs est essentielle. La mise à jour immédiate de Chrome est donc une étape indispensable pour garantir sa sécurité en ligne.