Publié le 16 février 2026 à 21h30. Google a déployé en urgence une mise à jour de sécurité pour son navigateur Chrome afin de corriger une vulnérabilité critique déjà exploitée par des attaquants. Il s’agit de la première faille de sécurité « zero-day » corrigée par l’entreprise cette année.
- Une vulnérabilité de haute gravité (CVE-2026-2441) affectant la gestion des polices a été identifiée.
- Des preuves indiquent que des pirates informatiques exploitaient activement cette faille avant la publication du correctif.
- Google a accéléré le déploiement du correctif et restreint temporairement les détails techniques pour limiter les risques.
La vulnérabilité, référencée sous le numéro CVE-2026-2441 et affichant un score de gravité de 8,8 sur 10, est liée à un problème de gestion de la mémoire dans le rendu avancé des polices de Chrome. Selon Google, des acteurs malveillants ont déjà profité de cette faille avant qu’un correctif ne soit disponible, ce qui a conduit à une réaction rapide de la part de l’entreprise.
La base de données de vulnérabilités du NIST décrit la faille comme une vulnérabilité de type « utilisation après libération », un défaut de programmation particulièrement dangereux. Elle permettrait à un attaquant distant d’exécuter du code arbitraire dans un environnement isolé via une page HTML falsifiée.
« L’utilisation après libération en CSS dans Google Chrome avant la version 145.0.7632.75 permettait à un attaquant distant d’exécuter du code arbitraire dans un bac à sable via une page HTML contrefaite. (Gravité de sécurité de Chromium : élevée) »
NIST
Dans un avis de sécurité, Google a confirmé avoir constaté une exploitation active de cette vulnérabilité, une situation qualifiée de « exploit dans la nature » – une désignation réservée aux failles déjà utilisées par des attaquants.
La faille a été découverte par le chercheur en sécurité Shaheen Fazim et affecte un composant appelé CSSFontFeatureValuesMap, qui gère les fonctionnalités de polices Web modernes dans Chrome. Ce système permet aux développeurs de contrôler précisément l’apparence des polices sur les pages web.
Au cœur du problème se trouve un bug d’invalidation d’itérateur, une erreur de programmation qui peut entraîner un accès à des zones de mémoire déjà libérées. Ces vulnérabilités d’« utilisation après libération » sont particulièrement préoccupantes car elles peuvent permettre à des attaquants de manipuler la mémoire de manière imprévisible, avec des conséquences potentiellement graves : plantages du navigateur, problèmes d’affichage, corruption de données, voire exécution de code malveillant.
Correctif déployé rapidement, mais des inquiétudes persistent
Les journaux de développement internes de Google indiquent que le correctif résout le problème immédiat. Cependant, les mêmes notes révèlent que des travaux sont toujours en cours, suggérant que des problèmes connexes pourraient subsister ou que le correctif actuel n’est que partiel. Il est possible que des correctifs supplémentaires soient nécessaires, que des variantes de la vulnérabilité soient encore à l’étude, ou que la zone de code affectée nécessite une refonte plus approfondie.
Face à l’urgence de la situation, Google a choisi de « ceriser » le correctif, c’est-à-dire de l’appliquer directement aux versions stables de Chrome plutôt que d’attendre une prochaine version majeure. Cette pratique est courante lorsque la vulnérabilité est activement exploitée et représente un risque immédiat pour les utilisateurs.
Divulgation limitée en raison d’une exploitation active
Comme il est d’usage dans les cas de vulnérabilités « zero-day », Google a limité la diffusion d’informations techniques détaillées sur les attaques. La société a justifié cette décision par la nécessité de ne pas donner aux attaquants les moyens de contourner les protections mises en place et de procéder à une ingénierie inverse de la vulnérabilité. L’objectif est également de donner aux équipes de sécurité le temps de déployer des mesures d’atténuation avant que la faille ne soit largement exploitée.
Cette approche vise à :
- Empêcher les acteurs malveillants de procéder à une ingénierie inverse de la vulnérabilité.
- Réduire la probabilité d’attaques par copie.
- Donner aux défenseurs le temps de déployer des mesures d’atténuation.
Dans certains cas, des restrictions peuvent également être maintenues si des composants logiciels tiers sont concernés et n’ont pas encore été corrigés.
Mises à jour déployées sur toutes les plateformes
Le correctif est actuellement déployé auprès des utilisateurs de Chrome sur toutes les principales plateformes de bureau via le canal Stable. Les versions mises à jour sont les suivantes :
- Windows et macOS : 145.0.7632.75 / 145.0.7632.76
- Linux : 144.0.7559.75
Google prévoit que la mise à jour atteindra l’ensemble des utilisateurs dans les jours et les semaines à venir. Les utilisateurs peuvent vérifier manuellement la présence de mises à jour dans les paramètres de Chrome ou autoriser le navigateur à se mettre à jour automatiquement au redémarrage.
Une tendance continue d’attaques ciblées sur les navigateurs
Bien qu’il s’agisse du premier correctif « zero-day » activement exploité pour Chrome en 2026, il s’inscrit dans une tendance observée ces dernières années. En 2025, Google avait déjà corrigé huit vulnérabilités « zero-day », dont beaucoup étaient liées à des campagnes de surveillance ciblées.
Plusieurs de ces failles ont été identifiées par le Threat Analysis Group (TAG) de Google, une équipe spécialisée dans le suivi des cyberopérations sophistiquées, notamment les attaques de logiciels espions visant les journalistes, les activistes et autres personnes à haut risque.
Les vulnérabilités des navigateurs modernes sont particulièrement prisées par les attaquants car :
- Les navigateurs sont largement utilisés et constamment exposés à des contenus potentiellement dangereux.
- Les exploits peuvent souvent être diffusés via des sites web malveillants.
- Les attaques réussies peuvent ne pas nécessiter d’interaction de l’utilisateur au-delà de la simple visite d’une page.
Les utilisateurs sont invités à mettre à jour immédiatement
Il est fortement recommandé d’installer la dernière mise à jour de Chrome dès qu’elle est disponible. Tout retard pourrait exposer les systèmes à des tentatives d’exploitation continues. Les utilisateurs d’autres navigateurs basés sur Chromium, tels que Microsoft Edge, Brave, Opera et Vivaldi, doivent également installer les mises à jour dès qu’elles sont publiées. Dans un contexte de cyberattaques de plus en plus complexes, l’application rapide des correctifs et la sensibilisation des utilisateurs restent des éléments essentiels de la protection.
