Google vient de corriger la quatrième vulnérabilité zero-day de Chrome en 2026. Référencée CVE-2026-5281, cette faille de type use-after-free dans Dawn, l'implémentation open source du standard WebGPU, permet l'exécution de code arbitraire via une simple page web piégée. La CISA a immédiatement ajouté cette CVE à son catalogue KEV le 1er avril 2026, imposant aux agences fédérales américaines un correctif avant le 15 avril. Les versions antérieures à Chrome 146.0.7680.178 sur Windows et macOS, et 146.0.7680.177 sur Linux, sont vulnérables. L'exploitation active confirmée en conditions réelles rend la mise à jour critique pour toutes les organisations utilisant des navigateurs Chromium, y compris Edge, Brave et Opera. Cette cadence de zero-days — quatre en moins de quatre mois — illustre une tendance préoccupante qui place le navigateur au centre des stratégies offensives modernes.

En bref

  • Use-after-free dans Dawn (WebGPU) permettant une exécution de code à distance via une page HTML piégée
  • Chrome < 146.0.7680.178 (Windows/Mac) et < 146.0.7680.177 (Linux) — tous navigateurs Chromium affectés
  • Mise à jour immédiate requise — exploitation active confirmée, ajout au catalogue KEV de la CISA

Les faits

Le 1er avril 2026, Google a publié un correctif d'urgence pour Chrome, corrigeant 21 vulnérabilités dont la CVE-2026-5281. Cette faille réside dans Dawn, le composant open source qui implémente le standard WebGPU pour le rendu GPU dans le navigateur. Il s'agit d'un bug de type use-after-free : une zone mémoire est libérée puis réutilisée de manière illégitime, permettant à un attaquant de corrompre la mémoire du processus de rendu. D'après Google, un exploit fonctionnel circule déjà dans la nature.

La CISA a réagi le jour même en ajoutant CVE-2026-5281 à son catalogue Known Exploited Vulnerabilities (KEV), fixant une date limite de correction au 15 avril 2026 pour les agences fédérales. C'est le quatrième zero-day Chrome de l'année, après des failles dans le moteur CSS, la bibliothèque graphique Skia et le moteur JavaScript V8. Cette cadence inédite rappelle les techniques d'exploitation par type confusion dans V8 déjà documentées, et confirme que les navigateurs restent une surface d'attaque prioritaire.

Impact et exposition

Tout utilisateur de Chrome ou d'un navigateur basé sur Chromium (Edge, Brave, Opera, Vivaldi) avec une version antérieure au correctif est exposé. L'exploitation ne nécessite aucune interaction au-delà de la visite d'une page web malveillante. Un attaquant ayant compromis le processus de rendu peut exécuter du code arbitraire dans le contexte du navigateur, potentiellement accéder à des données sensibles ou pivoter vers le système d'exploitation sous-jacent. Les environnements où les mises à jour du navigateur ne sont pas centralisées — PME, postes BYOD, terminaux non managés — sont particulièrement à risque. Cette faille s'inscrit dans la même famille que les attaques par canaux auxiliaires GPU qui exploitent la couche graphique des navigateurs.

Recommandations

  • Mettre à jour Chrome vers la version 146.0.7680.178 (Windows/Mac) ou 146.0.7680.177 (Linux) immédiatement
  • Vérifier la version de tous les navigateurs Chromium déployés dans votre parc (Edge, Brave, Opera) et appliquer les mises à jour correspondantes
  • Centraliser la gestion des mises à jour navigateur via GPO ou MDM pour éviter les postes non patchés
  • Surveiller les indicateurs de compromission liés à l'exploitation WebGPU dans vos logs de navigation et solutions EDR

Alerte critique

Exploitation active confirmée en conditions réelles. La CISA exige un correctif avant le 15 avril 2026. Ne reportez pas cette mise à jour : la simple visite d'un site compromis suffit à déclencher l'exploit.

Comment vérifier si mon navigateur est vulnérable ?

Accédez à chrome://settings/help dans Chrome ou edge://settings/help dans Edge. Si le numéro de version est inférieur à 146.0.7680.178, votre navigateur est vulnérable. Relancez le navigateur après la mise à jour pour que le correctif soit effectif. Pour un parc d'entreprise, utilisez des outils d'inventaire comme SCCM ou Intune pour identifier rapidement les postes non conformes.

Les navigateurs non-Chromium comme Firefox sont-ils affectés ?

Non. Firefox utilise son propre moteur de rendu (Gecko) et sa propre implémentation WebGPU. CVE-2026-5281 est spécifique à Dawn, le composant WebGPU de Chromium. Toutefois, Firefox a ses propres vulnérabilités et doit être maintenu à jour indépendamment. La stratégie Zero Trust recommande de traiter chaque navigateur comme un vecteur d'attaque potentiel, quel que soit le moteur.

Cette quatrième faille zero-day en quatre mois souligne l'importance d'une stratégie de test offensive régulière qui inclut le vecteur navigateur dans son périmètre d'audit.

Votre infrastructure est-elle exposée ?

Ayi NEDJIMI réalise des audits de sécurité ciblés pour identifier et corriger vos vulnérabilités avant qu'elles ne soient exploitées.

Demander un audit