Décidément, 2025 ne fait pas de cadeau à Google Chrome. Pour la troisième fois depuis le début de l’année, une faille zero-day a été découverte et exploitée avant même que le patch ne soit disponible. Le navigateur préféré des internautes doit donc une nouvelle fois réagir en urgence. Et cette fois encore, c’est le moteur JavaScript V8 qui est pointé du doigt.
Une nouvelle faille critique dans le moteur V8
Baptisée CVE-2025-6554, cette faille touche le cœur du moteur V8 de Chrome, celui qui fait tourner le JavaScript. Le problème ? Une confusion de type (type confusion) qui peut entraîner des corruptions mémoire. Et dans le pire des cas, permettre à un site malveillant d’exécuter du code à distance sur ton appareil. Oui, c’est aussi grave que ça en a l’air.
Cette vulnérabilité a été signalée le 25 juin par Clément Lecigne, un expert en cybersécurité du TAG (Threat Analysis Group) de Google. Et elle n’est pas restée dans les cartons : elle a été exploitée dans la nature avant même la publication du correctif. Résultat : alerte rouge, déploiement immédiat d’une mesure de mitigation, suivi de près par un vrai patch.
Mise à jour express : ce qu’il faut savoir
Le patch complet a été déployé le 1er juillet, avec les versions suivantes de Chrome :
- Windows : 138.0.7204.96 et .97
- macOS : .92 et .93
- Linux : .96
Comme souvent dans ce genre de cas, Google garde les détails techniques sous silence pendant quelques jours, le temps que tout le monde puisse faire sa mise à jour. Et on ne parle pas que de Chrome : tous les navigateurs basés sur Chromium (comme Edge, Brave, Opera ou Vivaldi) sont potentiellement vulnérables si le patch n’est pas encore appliqué.
👉 Pense à vérifier : Paramètres > Aide > À propos de Google Chrome, et assure-toi d’avoir la dernière version.
Trois zero-days exploités depuis janvier : le bilan s’alourdit
Ce n’est pas la première alerte de l’année pour Google Chrome. Voici les failles critiques déjà repérées et exploitées :
- CVE-2025-2783 (mars) : identifiée par Kaspersky, cette faille permettait de contourner la sandbox de Chrome. Elle était utilisée dans une campagne de phishing ciblée appelée Operation ForumTroll.
- CVE-2025-5419 (mai) : encore une fois dans le moteur V8, cette faille permettait des accès mémoire non autorisés via des pages piégées.
En plus de celles-ci, deux autres failles (CVE-2025-6191 et 6192) ont été corrigées mi-juin, mais sans preuve d’exploitation active cette fois.
➡️ Total : 5 vulnérabilités sérieuses corrigées en six mois, dont 3 failles zero-day exploitées dans la nature. Et l’année n’est qu’à moitié passée.
Une tendance inquiétante… mais pas surprenante
Ce rythme soutenu de découvertes peut sembler alarmant, mais il n’est pas sans précédent. En 2024, Google avait dû corriger dix failles zero-day en douze mois, la plupart utilisées dans des opérations de cyberespionnage ciblées.
La bonne nouvelle, c’est que les équipes de sécurité sont ultra-réactives. Mais cela montre aussi à quel point les navigateurs modernes sont devenus des cibles privilégiées, au cœur de nos vies numériques.
Ce que tu dois faire maintenant
✅ Vérifie ta version de Chrome
✅ Mets à jour ton navigateur (et ceux de tes proches)
✅ Si tu utilises Edge, Brave, Opera ou Vivaldi : même combat
✅ Reste attentif aux prochaines annonces de sécurité
🧠 Le mot de la fin
Naviguer sur Internet en 2025, c’est comme marcher sur un fil tendu au-dessus d’une fosse de hackers affamés. Garde ton navigateur à jour, et tout se passera bien 😉
