Google corrige CVE-2026-5281, une faille zero-day WebGPU dans Chrome activement exploitée. Mise à jour critique requise pour tous les navigateurs Chromium.
En bref
- Google corrige une faille zero-day critique (CVE-2026-5281) dans le moteur WebGPU Dawn de Chrome, activement exploitée dans la nature
- Tous les navigateurs basés sur Chromium sont concernés : Chrome, Edge, Brave, Opera, Vivaldi
- Mise à jour immédiate vers Chrome 146.0.7680.177/178 requise — CISA impose un correctif avant le 15 avril 2026
Les faits
Le 1er avril 2026, Google a publié un correctif de sécurité pour Chrome couvrant 21 vulnérabilités, dont la CVE-2026-5281 — une faille de type use-after-free dans Dawn, lu0027implémentation open source du standard WebGPU. Dans un advisory inhabituellement direct, Google a confirmé que « un exploit pour CVE-2026-5281 existe dans la nature ». La faille permet à un attaquant ayant compromis le processus de rendu du navigateur du0027exécuter du code arbitraire via une page HTML spécialement conçue.
Le 1er avril 2026, la CISA a ajouté cette CVE à son catalogue KEV (Known Exploited Vulnerabilities), imposant aux agences fédérales américaines du0027appliquer le correctif avant le 15 avril 2026. Cu0027est le quatrième zero-day Chrome activement exploité depuis le début de lu0027année 2026, confirmant une tendance du0027accélération des attaques ciblant les navigateurs. Selon SOCRadar, les campagnes du0027exploitation observées utilisent des pages web piégées distribuées par phishing ciblé.
Impact et exposition
Avec plus de 3,5 milliards du0027utilisateurs de navigateurs Chromium dans le monde, la surface du0027attaque est massive. La vulnérabilité affecte toutes les versions de Chrome antérieures à 146.0.7680.177 sur Linux et 146.0.7680.177/178 sur Windows et macOS. Les navigateurs dérivés de Chromium — Microsoft Edge, Brave, Opera et Vivaldi — sont également vulnérables tant que leurs éditeurs respectifs nu0027ont pas intégré le correctif. Lu0027exploitation nécessite que lu0027utilisateur visite une page malveillante, ce qui rend les campagnes de phishing par email particulièrement dangereuses dans ce contexte.
Recommandations
- Mettre à jour Chrome immédiatement vers la version 146.0.7680.177 (Linux) ou 146.0.7680.178 (Windows/macOS) via chrome://settings/help
- Vérifier la version de tous les navigateurs Chromium déployés dans votre parc — un EDR correctement configuré peut détecter les tentatives du0027exploitation
- Sensibiliser les utilisateurs aux risques de phishing ciblé utilisant des pages web piégées
- Surveiller les journaux réseau pour détecter les connexions sortantes suspectes post-navigation
Alerte critique
Cette vulnérabilité est activement exploitée. La CISA exige un correctif avant le 15 avril 2026. Si votre organisation utilise Chrome ou un navigateur Chromium, appliquez la mise à jour sans attendre le prochain cycle de patch management.
Comment vérifier si mon navigateur est vulnérable à CVE-2026-5281 ?
Ouvrez Chrome et accédez à chrome://settings/help. Si votre version est inférieure à 146.0.7680.177 (Linux) ou 146.0.7680.178 (Windows/macOS), vous êtes vulnérable. Le navigateur lancera automatiquement la mise à jour si elle est disponible. Pour les environnements gérés, vérifiez vos politiques de déploiement de mises à jour.
Les extensions de navigateur peuvent-elles protéger contre cette faille ?
Non. La vulnérabilité se situe dans le moteur de rendu WebGPU de Chrome, en dessous de la couche des extensions. Seule la mise à jour du navigateur corrige le problème. Les extensions de sécurité comme uBlock Origin peuvent réduire lu0027exposition en bloquant certains domaines malveillants, mais elles ne constituent pas une protection contre lu0027exploit lui-même.
Votre infrastructure est-elle exposée ?
Ayi NEDJIMI réalise des audits de sécurité ciblés pour identifier et corriger vos vulnérabilités avant quu0027elles ne soient exploitées.
Demander un auditÀ propos de l'auteur
Ayi NEDJIMI
Expert Cybersécurité Offensive & Intelligence Artificielle
Ayi NEDJIMI est consultant senior en cybersécurité offensive et intelligence artificielle, avec plus de 20 ans d'expérience sur des missions à haute criticité. Il dirige Ayi NEDJIMI Consultants, cabinet spécialisé dans le pentest d'infrastructures complexes, l'audit de sécurité et le développement de solutions IA sur mesure.
Ses interventions couvrent l'audit Active Directory et la compromission de domaines, le pentest cloud (AWS, Azure, GCP), la rétro-ingénierie de malwares, le forensics numérique et l'intégration d'IA générative (RAG, agents LLM, fine-tuning). Il accompagne des organisations de toutes tailles — des PME aux grands groupes du CAC 40 — dans leur stratégie de sécurisation.
Contributeur actif à la communauté cybersécurité, il publie régulièrement des analyses techniques, des guides méthodologiques et des outils open source. Ses travaux font référence dans les domaines du pentest AD, de la conformité (NIS2, DORA, RGPD) et de la sécurité des systèmes industriels (OT/ICS).
Ressources & Outils de l'auteur
Articles connexes
Flowise AI : faille CVSS 10 exploitée sur 12 000 serveurs
CVE-2025-59528 (CVSS 10.0) permet une RCE sur Flowise AI. Plus de 12 000 serveurs exposés sont activement ciblés. Mise à jour vers 3.0.6 urgente.
FBI : des hackers chinois piratent le système de surveillance
Le FBI confirme une compromission majeure de son système de surveillance par Salt Typhoon, un groupe APT chinois. Les métadonnées du0027écoutes exposées.
Microsoft lance trois modèles IA maison pour concurrencer OpenAI
Microsoft dévoile trois modèles IA maison — MAI-Transcribe-1, MAI-Voice-1 et MAI-Image-2 — réduisant sa dépendance envers OpenAI.
Commentaires (1)
Laisser un commentaire