Google a récemment corrigé une vulnérabilité critique dans son navigateur Chrome pour Windows.
Cette faille, identifiée sous le nom de CVE-2025-2783, a été découverte par les chercheurs en cybersécurité de Kaspersky et exploitée dans une campagne de piratage sophistiquée. Le terme “zero-day” signifie que la faille était inconnue du public et des développeurs jusqu’à ce qu’elle soit utilisée par des pirates, laissant ainsi à Google aucun délai pour la corriger avant son exploitation.
La campagne malveillante, baptisée « Operation ForumTroll » par Kaspersky, visait principalement des journalistes russes et des employés d’institutions éducatives. Les victimes recevaient des emails d’hameçonnage les invitant à un prétendu sommet politique international. En cliquant sur le lien contenu dans le message, elles étaient redirigées vers un site malveillant qui exploitait immédiatement la faille de Chrome pour infiltrer leur ordinateur.
Lire aussi :
- Instagram renforce la sécurité des adolescents : un nouveau partenariat avec les écoles contre le harcèlement en ligne
- ChatGPT améliore sa génération d’images : une avancée majeure avec GPT-4o
Une attaque ciblée et probablement étatique
Selon l’analyse de Kaspersky, la faille permettait de contourner les mécanismes de sécurité intégrés à Chrome, notamment la sandbox, qui sert normalement à isoler le navigateur du reste du système pour limiter les dégâts en cas d’attaque. Ce type de vulnérabilité permet aux pirates d’accéder à des fichiers sensibles stockés sur l’appareil de la victime, ce qui en fait un outil idéal pour l’espionnage.
Même si Kaspersky n’a pas formellement identifié les auteurs de l’attaque, les indices pointent vers un groupe soutenu par un État. La nature ciblée des emails, la sophistication de l’exploit et le choix des victimes – des journalistes et universitaires russes – suggèrent une opération d’espionnage de haut niveau, destinée à surveiller des individus spécifiques sur le long terme.
Google lance Gemini 2.5 : une nouvelle ère pour l’intelligence artificielle raisonnée
Un enjeu croissant pour la sécurité des navigateurs
Les navigateurs web comme Chrome sont des cibles fréquentes pour les groupes malveillants et les cyberespions soutenus par des États. Une faille zero-day exploitable à distance peut valoir plusieurs millions de dollars sur le marché noir. En 2024, certains courtiers en vulnérabilités proposaient jusqu’à 3 millions de dollars pour une faille critique de ce type.
Face à cette menace constante, Google a indiqué que des mises à jour de sécurité pour Chrome seront déployées dans les jours et semaines à venir. Il est donc fortement conseillé à tous les utilisateurs de mettre à jour leur navigateur sans délai. Kaspersky a également précisé que cette vulnérabilité pourrait affecter d’autres navigateurs basés sur le moteur Chromium, comme Microsoft Edge ou Opera, soulignant l’ampleur potentielle du danger.
