Alerte Cybersécurité
Faille critique Chromium : Quand l'erreur d'un développeur Google met en danger des millions d'entreprises
C'est le cauchemar de toute entreprise technologique, et cette fois, c'est le géant de Mountain View qui est en cause. Google a accidentellement publié les détails d'une faille de sécurité majeure (et la façon de l'exploiter) avant même que le correctif ne soit déployé sur les ordinateurs des utilisateurs.
Cette bévue n'affecte pas seulement Google Chrome, mais l'ensemble de l'écosystème "Chromium" (Microsoft Edge, Brave, Opera). Résultat : la porte est grande ouverte pour les pirates informatiques. Explications de cette crise, analyse des risques pour votre PME, et plan d'action immédiat.
1. Comment Google a "fuité" sa propre vulnérabilité
En cybersécurité, la règle d'or lors de la découverte d'une vulnérabilité informatique est stricte : le silence absolu tant que la mise à jour (le patch) n'a pas été installée par la majorité des utilisateurs.
Pourtant, comme le rapporte le média spécialisé Korben, un ingénieur de l'équipe Chromium a malencontreusement rendu public un rapport de bug incluant le code Proof of Concept (PoC). Ce bout de code expliquait très exactement comment forcer le navigateur à exécuter un programme malveillant à l'insu de l'utilisateur.
Bien que Google ait tenté de censurer l'information en urgence, le code avait déjà été repéré et dupliqué sur les forums du Dark Web. Les hackers disposent désormais d'une arme redoutable, prête à l'emploi.
2. Pourquoi Microsoft Edge, Brave et Opera sont-ils aussi touchés ?
L'ampleur de cette crise dépasse largement le seul navigateur Google Chrome. L'information, reprise en détail par Frandroid, rappelle une réalité technique souvent ignorée des dirigeants d'entreprise : la quasi-totalité des navigateurs modernes partagent le même moteur interne.
Ce moteur s'appelle Chromium (un projet open-source développé initialement par Google). Par conséquent, si une faille critique touche le cœur de Chromium, elle contamine par effet domino tous les navigateurs qui l'utilisent comme fondation :
| Navigateur | Moteur technique | Vulnérabilité à cette faille |
|---|---|---|
| Google Chrome | Chromium | ⚠️ Hautement vulnérable |
| Microsoft Edge (Par défaut sur Windows) | Chromium | ⚠️ Hautement vulnérable |
| Brave & Opera | Chromium | ⚠️ Hautement vulnérable |
| Mozilla Firefox | Gecko (Moteur indépendant) | ✅ Protégé (Non concerné) |
| Apple Safari | WebKit (Moteur indépendant) | ✅ Protégé (Non concerné) |
Une telle faille, qualifiée de "Zero-Day" (puisque les pirates l'ont connue avant que les développeurs n'aient le temps de la corriger pour tout le monde), permet généralement l'exécution de code à distance. Concrètement : un de vos collaborateurs visite un site web piégé (ou clique sur un lien dans un e-mail de phishing), et le ransomware s'installe silencieusement sur son PC de bureau, sans même qu'il n'ait besoin de télécharger un fichier.
3. La réaction d'urgence (et pourquoi l'infogérance est vitale)
Face à ce tollé, souligné par 01net et les marchés financiers (Yahoo Finance), Google et Microsoft déploient actuellement des correctifs de sécurité en urgence absolue.
Le problème dans les PME ? Les utilisateurs cliquent rarement sur le bouton "Mettre à jour". Ils laissent leur navigateur ouvert pendant des semaines avec des dizaines d'onglets, empêchant l'installation du patch correctif.
Pour nos entreprises clientes, aucune action manuelle n'est requise. Notre Centre d'Opérations de Sécurité (SOC) a immédiatement réagi :
- Déploiement MDM (Mobile Device Management) : Nous utilisons Microsoft Intune pour forcer le redémarrage et la mise à jour de tous les navigateurs de votre parc informatique, en arrière-plan, sans intervention des employés.
- Supervision EDR : Notre solution de sécurité (Sentinel) analyse le comportement des navigateurs en temps réel. Si un site tente d'exploiter cette faille Chromium spécifique, le processus est immédiatement tué avant que l'ordinateur ne soit infecté.
Ne jouez pas à la roulette russe avec la sécurité de vos postes de travail
Vos collaborateurs cliquent rarement d'eux-mêmes sur les mises à jour. En externalisant votre gestion de parc chez OktaLink, nous forçons les patchs de sécurité critiques à distance et bloquons les ransomwares avec notre intelligence artificielle.