Le patch d’urgence résout le problème critique après l’exploit découvert dans la nature.
Il est conseillé aux utilisateurs de Chrome de mettre à jour leur navigateur immédiatement pour corriger une vulnérabilité critique qui est exploitée pour lancer des attaques de rachat de compte.
Dans certains environnements, cela pourrait même donner aux attaquants la possibilité de contourner l’authentification multi-facteurs (MFA).
La vulnérabilité récemment rapportée, l’une des quatre fixées dans une mise à jour du mercredi, est suivie comme CVE-2025-4664 et affecte toutes les versions de Chrome avant la version 136.0.7103.113.
L’avis de Google en dit très peu sur la faille au-delà de la question: « Google est conscient des rapports selon lesquels un exploit pour CVE-2025-4664 existe dans la nature. »
Cela explique l’urgence du correctif émis en dehors du cycle de mise à jour normal, un «correctif d’urgence» si vous le souhaitez. Ceux-ci se produisent de temps en temps, et étant donné l’utilisation quotidienne des navigateurs, sont toujours une priorité pour les utilisateurs et les administrateurs.
La vulnérabilité de près
Le chercheur qui a découvert le défaut, Vsevolod Kokorin de Neplox Security, offre une plongée plus profonde sur la question dans son article sur X (anciennement Twitter):
« Contrairement aux autres navigateurs, Chrome résout l’en-tête de lien sur les demandes de sous-ressources. Mais quel est le problème? Le problème est que l’en-tête de lien peut définir une politique de référence. Nous pouvons spécifier dangereux-uRL et capturer les paramètres de requête complets », a-t-il écrit.
Les en-têtes de liaison sont utilisés par les sites Web pour informer un navigateur des ressources de page importantes, par exemple, les images, qu’elles devraient précharger. Dans le cadre de la réponse HTTP qui se produit avant que le navigateur ne rencontre un HTML, cela accélère les temps de réponse. Lorsque le navigateur va à la recherche de la ressource, généralement sur un serveur tiers, il transmet une URL contenant des informations sur le site de demande, comme le permet la politique de référence.
Malheureusement, dans Chrome, cette URL peut également inclure des informations avec une incidence sur la sécurité, telles que les flux OAuth utilisés pour l’authentification.
«Les paramètres de requête peuvent contenir des données sensibles – par exemple, dans les flux OAuth, cela peut conduire à une prise de contrôle du compte. Les développeurs considèrent rarement la possibilité de voler des paramètres de requête via une image à partir d’une ressource tierce – ce qui rend cette astuce étonnamment utile parfois», a écrit Kokorin.
Comment cela pourrait-il être exploité?
OAuth fournit un moyen de donner accès à quelque chose sans avoir besoin d’un mot de passe. Il est utile dans plusieurs scénarios, par exemple, dans une seule connexion (SSO). Les utilisateurs peuvent également le rencontrer lorsqu’ils donnent un accès de contact à un fichier ou un document dans un service cloud tel que Microsoft 365 sans transmettre leurs informations d’identification de compte.
Surtout, OAuth entre en jeu après MFA, ce qui signifie que si un attaquant peut inciter les utilisateurs à révéler leur jeton OAuth dans une URL, il peut efficacement contourner ce contrôle.
La faille que Kokorin a découverte est que Chrome incluait des données sensibles comme celle-ci dans ses paramètres de requête, ce qui en fait une cible tentante pour un attaquant capable d’attirer quelqu’un sur un faux site où ces données peuvent être volées.
Probablement pas par coïncidence, les dernières semaines ont vu une série d’attaques parfois élaborées tentant de le faire, comme le documentent les fournisseurs de sécurité. Ceux-ci pourraient ou non être liés aux attaques dont Google parle dans son alerte.
La mise à jour Google mentionne également une autre faille critique, CVE-2025-4609, qui, pour autant que l’entreprise le sache, n’est pas exploitée. Les deux dernières vulnérabilités ne sont pas détaillées, il est vraisemblablement moins grave.
Les entreprises qui cherchent à corriger la vulnérabilité doivent rechercher les versions 136.0.7103.113/114 pour Windows et Mac, et 136.0.7103.113 pour Linux.
Les entreprises doivent toujours triage avec soin ce type de défaut. Ils doivent le réparer rapidement, mais la rapidité avec laquelle dépend de la probabilité qu’ils soient ciblés par l’exploit.
Ce risque sera actuellement modeste. Cependant, étant donné que les attaquants les plus susceptibles de l’exploiter sont russes, il y a un risque qu’il se propagera aux attaques de ransomwares assez bientôt.
