Vulnérabilité critique dans Chrome : votre téléphone peut devenir un outil d’attaque

Une faille de sécurité majeure a été mise en lumière récemment dans le navigateur Google Chrome ainsi que dans les navigateurs basés sur le projet Chromium. Cette vulnérabilité pourrait permettre à des pirates informatiques de transformer à l’insu des utilisateurs leurs téléphones ou ordinateurs en éléments d’un réseau « botnet » destiné à mener des attaques informatiques de grande ampleur.

Cette faille repose sur une fonctionnalité appelée « Browser Fetch », conçue pour permettre au navigateur de télécharger des fichiers en arrière-plan, même après la fermeture de la page web. Initialement pensée pour améliorer l’expérience utilisateur, cette technologie a été détournée par des chercheurs en sécurité qui ont démontré qu’elle pouvait être exploitée pour établir des connexions cachées avec les appareils des victimes. Ces derniers pourraient alors être utilisés pour des actions malveillantes telles que des attaques par déni de service distribué (DDoS) ou l’envoi massif de courriers indésirables.

Ce qui rend cette faille particulièrement préoccupante, c’est que l’utilisateur n’a pas besoin d’installer d’applications douteuses ni d’accorder des autorisations spécifiques pour être exposé. Il suffit d’ouvrir un site internet malveillant pour que l’exploitation débute discrètement en arrière-plan.

Un signalement ancien toujours sans correctif

Selon les informations disponibles, la chercheuse en sécurité Lera Rebane a signalé cette vulnérabilité à Google dès 2022. L’entreprise a alors classé ce problème comme critique en interne, mais aucun correctif n’a été déployé à ce jour, suscitant de vives critiques au sein de la communauté de la cybersécurité.

Face à l’absence de solution officielle, les experts recommandent aux utilisateurs de rester vigilants en évitant les sites web non fiables et de ne pas télécharger de fichiers provenant de sources inconnues. Il est également conseillé de maintenir à jour son navigateur et son système d’exploitation afin d’être prêt à recevoir d’éventuelles mises à jour de sécurité.