La faille Chromium menace-t-elle Chrome, Edge, Brave et Opera ?

Le 20 mai, Google a rendu publics les détails d’une vulnérabilité Chromium qu’il n’avait pas corrigée. Le bug a été signalé fin 2022 par Lyra Rebane, classé P1/S2 par les ingénieurs Chromium.

Le 20 mai, Google a publié les détails d’une vulnérabilité de Chromium qui n’avait pas été corrigée. La chercheuse indépendante Lyra Rebane a été surprise : au cours de tests sur ce qu’elle croyait être un correctif enfin déployé, elle a découvert que la faille persistait. Sur Microsoft Edge, l’exploitation était même devenue complètement silencieuse.

Le problème réside dans la Browser Fetch API, une fonction de Chromium permettant à un site de poursuivre un téléchargement important en arrière-plan, même lors du changement d’onglet. Pour cela, le navigateur utilise un Service Worker, un petit script JavaScript fonctionnant en arrière-plan, sans interface visible.

Concrètement, le scénario se déroule en trois étapes. Un site malveillant enregistre discrètement un Service Worker lors de la première visite. Ce script lance ensuite une tâche de téléchargement en arrière-plan via la Browser Fetch API, puis l’annule et la relance toutes les vingt secondes — suffisamment rapidement pour que la barre de progression du navigateur ne soit jamais affichée, mais assez lentement pour maintenir le worker actif indéfiniment. Le navigateur devient alors accessible par un serveur de commande tiers, sans que l’utilisateur ne s’en aperçoive.

En d’autres termes : n’importe quel site visité une seule fois peut transformer le navigateur en relais d’un mini-botnet. La liste des navigateurs concernés est longue : Chrome, Edge, Brave… Firefox et Safari, qui ne prennent pas en charge cette API, sont épargnés.

Un patch qui n’en était pas un

L’historique est révélateur. Le bug a été signalé fin 2022 par Lyra Rebane, catégorisé P1/S2 par les ingénieurs de Chromium, juste en dessous du niveau de critique maximal.

Trois mois plus tard, l’interface visible (la barre de téléchargement) est corrigée, mais le cœur du problème, la possibilité de maintenir un Service Worker actif indéfiniment, reste intacte.

Le 20 mai 2026, soit 42 mois après le signalement, Google rouvre publiquement le ticket sans avertissement. Le code de l’exploit est alors accessible sur Internet.

Google referme le ticket en urgence, mais il est trop tard : il a déjà été archivé et est en circulation.

Plus inquiétant, CSO Online rapporte que sur Microsoft Edge, le Service Worker malveillant peut survivre à la fermeture du navigateur, voire à un redémarrage de l’ordinateur. Aucun signal visible ne prévient l’utilisateur.

Lyra Rebane tempère toutefois : « l’exploitation est désormais assez facile, mais monter une opération à grande échelle nécessite encore une infrastructure dédiée ». Le risque demeure donc indirect (botnet, suivi, redirection), mais le code étant désormais public, la cible représente des milliards d’utilisateurs (Chrome comptant à lui seul plus de 3 milliards d’installations dans le monde).

En attendant un correctif d’urgence que Google ne devrait plus pouvoir retarder, il est conseillé de maintenir son navigateur à jour, et un changement temporaire vers Firefox ou Safari pourrait être bénéfique.

À noter : Google a reconnu la fuite et a indiqué qu’un correctif était en préparation, sans préciser de date. En attendant, les entreprises peuvent limiter l’utilisation des Service Workers via leurs politiques de navigation, et les utilisateurs avancés peuvent désactiver les fonctions de background fetch lorsque disponible.