CVE-2026-5281 : zero-day Chrome WebGPU exploité activement

Les faits

Google a publié un correctif d'urgence pour Chrome afin de colmater CVE-2026-5281, une vulnérabilité de type use-after-free dans Dawn, l'implémentation open source et multiplateforme du standard WebGPU. Selon l'advisory officiel de Google, « un exploit pour CVE-2026-5281 existe dans la nature ». Il s'agit du quatrième zero-day corrigé dans Chrome depuis janvier 2026, confirmant une tendance à l'accélération des attaques ciblant le navigateur le plus utilisé au monde.

La faille a été signalée par des chercheurs externes et ajoutée au catalogue KEV (Known Exploited Vulnerabilities) de la CISA le 1er avril 2026. L'agence fédérale américaine a imposé aux agences gouvernementales un délai de remédiation fixé au 15 avril — soit aujourd'hui. L'exploitation en conditions réelles a été confirmée, bien que Google n'ait pas communiqué sur les cibles spécifiques ni sur les acteurs impliqués, conformément à sa politique de divulgation progressive.

Impact et exposition

Tout utilisateur de Chrome, Chromium, Edge, Brave ou tout navigateur basé sur Chromium est potentiellement exposé. L'attaque ne nécessite aucune interaction complexe : il suffit de visiter une page web malveillante. En déclenchant un défaut de gestion mémoire dans le pipeline de traitement GPU, un adversaire peut exécuter du code arbitraire dans le contexte du navigateur. Dans des scénarios avancés, cette vulnérabilité peut être chaînée avec d'autres failles pour contourner la sandbox de Chrome et obtenir un accès complet au système sous-jacent.

Les environnements les plus à risque sont les postes de travail non gérés, les kiosques web publics et les systèmes où les mises à jour automatiques sont désactivées. Les entreprises utilisant des applications web internes basées sur WebGPU — rendu 3D, calcul GPU côté client, visualisation de données — sont particulièrement concernées par cette vulnérabilité.

Recommandations

• Mettre à jour Chrome immédiatement vers la version 146.0.7680.177 (Linux) ou 146.0.7680.177/178 (Windows/macOS) — vérifier via chrome://version.
• Contrôler le déploiement effectif de la mise à jour sur l'ensemble du parc via votre outil de gestion (SCCM, Intune, Jamf, Google Admin Console).
• Surveiller les logs réseau pour détecter d'éventuels accès à des domaines suspects liés à l'exploitation de cette CVE.
• Désactiver temporairement WebGPU via le flag chrome://flags/#enable-unsafe-webgpu sur les postes critiques en attendant la validation du patch.

Cette vulnérabilité s'inscrit dans une série préoccupante de zero-days navigateur en 2026. Google avait déjà dû corriger en urgence des failles similaires ces derniers mois, rappelant que le navigateur reste un vecteur d'attaque privilégié. Pour comprendre l'ampleur du phénomène, consultez notre analyse du zero-day Adobe Acrobat Reader corrigé récemment, ou le Patch Tuesday d'avril 2026 qui a battu des records avec 167 failles corrigées par Microsoft. Les zero-days FortiClient EMS montrent que cette tendance touche tous les éditeurs majeurs. Même les nouvelles fonctionnalités comme les Skills IA de Chrome élargissent la surface d'attaque du navigateur.