C'est le genre de nouvelle qui fait froid dans le dos. Les chercheurs de Project Zero (Google) viennent de reveler une faille zero-day qui touche simultanement Chrome, Firefox et Edge. Score de gravite CVSS : 9,8 sur 10, soit le max. Le pire, c'est qu'il suffit de visiter une page web malveillante pour etre compromis, sans aucun clic. Environ 3,2 milliards d'installations de navigateurs sont potentiellement concernees dans le monde.
Le truc c'est que les trois navigateurs partagent le meme probleme
La faille se situe dans le traitement des objets WebAssembly, une composante technique partagee par les trois navigateurs malgre leurs architectures differentes. Concretement, un attaquant peut provoquer un debordement de memoire (buffer overflow) pour executer du code sur votre machine. Les premiers cas d'exploitation detectes ciblaient des journalistes, des avocats et des militants des droits humains. On ne va pas se mentir, c'est assez flippant.
Les correctifs sont deja la (mettez a jour, serieux)
Google a publie un patch pour Chrome (version 134.0.6998.89) en 24 heures. Mozilla a suivi avec Firefox 136.0.1, et Microsoft a mis a jour Edge en version 134.0.3124.51. Les trois editeurs ont active le deploiement automatique. L'ANSSI en France a emis une alerte de niveau critique et recommande aux entreprises de verifier manuellement la version de leurs navigateurs sur tout leur parc. Le CERT-FR a publie des marqueurs de compromission pour verifier si vos systemes ont ete touches.
Un signal d'alarme pour toute l'industrie
Cette histoire relance un vrai debat : le partage croissant de composantes standard comme WebAssembly cree des points de defaillance communs entre navigateurs. Quand une faille touche tout le monde en meme temps, ca pose question. L'ANSSI rappelle d'ailleurs que 47 % des cyberattaques reussies en 2025 exploitaient des vulnerabilites pour lesquelles un correctif existait deja. En gros, mettez a jour vos logiciels. Toujours.