CVE-2026-5281 : zero-day Chrome dans WebGPU (Dawn) activement exploité. Mettez à jour tous vos navigateurs Chromium vers la version 146.0.7680.177 minimum.
En bref
- CVE-2026-5281 : use-after-free dans Dawn (WebGPU) de Google Chrome — quatrième zero-day Chrome de 2026
- Tous les navigateurs Chromium affectés : Chrome, Edge, Opera, Brave — versions antérieures à 146.0.7680.177
- Action urgente : mettre à jour Chrome et tous les navigateurs Chromium immédiatement
Les faits
Google a publié le 1er avril 2026 une mise à jour de sécurité d'urgence pour Chrome afin de corriger la vulnérabilité CVE-2026-5281, une faille de type use-after-free dans Dawn, l'implémentation open-source et multiplateforme du standard WebGPU. Cette vulnérabilité permet à un attaquant distant ayant compromis le processus de rendu du navigateur d'exécuter du code arbitraire via une page HTML spécialement conçue. Google a confirmé qu'un exploit pour cette faille existe et est activement utilisé dans la nature, ce qui en fait le quatrième zero-day Chrome corrigé depuis le début de l'année 2026.
La CISA a ajouté CVE-2026-5281 à son catalogue KEV le 1er avril 2026, fixant une date limite de correction au 15 avril 2026 pour les agences fédérales américaines. Le CERT-FR a également signalé cette vulnérabilité dans ses avis concernant Microsoft Edge, confirmant que tous les navigateurs basés sur Chromium sont affectés. Le chercheur en sécurité qui a rapporté cette faille a également identifié d'autres vulnérabilités dans le même composant, notamment un heap buffer overflow dans WebGL (CVE-2026-4675) et des use-after-free supplémentaires dans Dawn (CVE-2026-4676 et CVE-2026-5284), tous corrigés dans les mises à jour récentes.
Impact et exposition
La surface d'attaque est considérable : tout utilisateur de Chrome, Microsoft Edge, Opera, Brave ou tout autre navigateur basé sur Chromium exécutant une version antérieure à 146.0.7680.177 (Linux) ou 146.0.7680.177/178 (Windows/Mac) est vulnérable. L'exploitation nécessite que la victime visite une page web malveillante, ce qui peut être réalisé via du phishing, des publicités malveillantes (malvertising) ou la compromission de sites légitimes. Un attaquant exploitant cette faille peut s'échapper du bac à sable du navigateur et exécuter du code sur le système de la victime, ouvrant la porte au vol de données, à l'installation de malwares ou à la prise de contrôle complète du poste. Les environnements professionnels où les navigateurs ne sont pas mis à jour automatiquement sont particulièrement exposés.
Recommandations immédiates
- Mettre à jour Chrome vers la version 146.0.7680.177 ou ultérieure (Linux) / 146.0.7680.178 (Windows/Mac) — Google Chrome Stable Channel Update, avril 2026
- Mettre à jour Microsoft Edge, Brave, Opera et tout navigateur basé sur Chromium vers leur dernière version stable
- Vérifier la mise à jour automatique des navigateurs dans votre parc informatique via votre solution de gestion de parc (SCCM, Intune, etc.)
- Sensibiliser les utilisateurs au risque de phishing ciblant cette vulnérabilité via des pages web piégées
- Activer les politiques de groupe pour forcer le redémarrage des navigateurs après mise à jour
⚠️ Urgence
Zero-day activement exploité — quatrième de l'année pour Chrome. La mise à jour est disponible et doit être appliquée immédiatement sur tous les postes. Les navigateurs Chromium non patchés exposent les utilisateurs à l'exécution de code à distance via une simple visite de page web malveillante.
Comment vérifier si mon navigateur Chrome est à jour ?
Ouvrez Chrome et accédez à chrome://settings/help (ou Menu > Aide > À propos de Google Chrome). La version installée s'affiche et Chrome vérifie automatiquement les mises à jour. Vous devez voir la version 146.0.7680.177 ou supérieure. Si une mise à jour est disponible, cliquez sur Relancer pour l'appliquer. Pour Microsoft Edge, accédez à edge://settings/help. Pour vérifier la version à grande échelle dans votre entreprise, utilisez votre outil de gestion de parc ou la commande chrome --version en ligne de commande.
Votre infrastructure est-elle exposée ?
Ayi NEDJIMI réalise des audits ciblés pour identifier et corriger vos vulnérabilités.
Demander un auditÀ propos de l'auteur
Ayi NEDJIMI
Expert Cybersécurité Offensive & Intelligence Artificielle
Ayi NEDJIMI est consultant senior en cybersécurité offensive et intelligence artificielle, avec plus de 20 ans d'expérience sur des missions à haute criticité. Il dirige Ayi NEDJIMI Consultants, cabinet spécialisé dans le pentest d'infrastructures complexes, l'audit de sécurité et le développement de solutions IA sur mesure.
Ses interventions couvrent l'audit Active Directory et la compromission de domaines, le pentest cloud (AWS, Azure, GCP), la rétro-ingénierie de malwares, le forensics numérique et l'intégration d'IA générative (RAG, agents LLM, fine-tuning). Il accompagne des organisations de toutes tailles — des PME aux grands groupes du CAC 40 — dans leur stratégie de sécurisation.
Contributeur actif à la communauté cybersécurité, il publie régulièrement des analyses techniques, des guides méthodologiques et des outils open source. Ses travaux font référence dans les domaines du pentest AD, de la conformité (NIS2, DORA, RGPD) et de la sécurité des systèmes industriels (OT/ICS).
Ressources & Outils de l'auteur
Testez vos connaissances
Mini-quiz de certification lié à cet article — propulsé par CertifExpress
Articles connexes
Cisco IMC et SSM : deux failles critiques CVSS 9.8 corrigées
CVE-2026-20093 et CVE-2026-20160 : deux failles critiques CVSS 9.8 dans Cisco IMC et SSM On-Prem. Correctifs disponibles, à appliquer en urgence.
CVE-2026-35616 : faille critique FortiClient EMS exploitée
CVE-2026-35616 : vulnérabilité critique CVSS 9.1 dans FortiClient EMS activement exploitée. Hotfix urgent disponible pour les versions 7.4.5 et 7.4.6.
CVE du Mois Juin 2025 : Vulnérabilités Critiques Analysées
Analyse détaillée des vulnérabilités critiques du mois de juin 2025 : CVE Windows, Linux, Cloud et IoT avec PoC, détection SIEM et remédiation.
Commentaires
Aucun commentaire pour le moment. Soyez le premier à commenter !
Laisser un commentaire