Google vient de commettre l’une des bourdes sécuritaires les plus embarrassantes de son histoire : publier lui-même la recette pour pirater son propre navigateur. Et le pire, c’est que la faille était connue depuis 2022. C’est une erreur qui pourrait potentiellement coûter très cher à Google, mais aussi à ses millions d’utilisateurs. Récemment, la société de Mountain View a accidentellement publié le code d’exploitation d’une faille critique de Chromium, le moteur partagé par Chrome, Edge, Brave ou encore Opera. Classée S1, soit le deuxième niveau de gravité le plus élevé en cybersécurité, cette faille est connue des services de sécurité de Chrome… depuis deux ans. La faille exploite la Background Fetch API, une fonction qui permet de continuer un téléchargement même après avoir fermé un onglet. Un simple script malveillant sur une page web suffit à ouvrir un service worker permanent, soit un script JavaScript qui s’exécute en arrière-plan de manière infinie dans votre navigateur. Dans le cas présent, même redémarrer le navigateur ou l’ordinateur ne sert strictement à rien. Les conséquences concrètes pour les utilisateurs sont encore floues. Un navigateur infecté par cette attaque peut mener des attaques DDoS, servir de proxy anonyme pour des cybercriminels ou encore surveiller la navigation de l’utilisateur. En l’état, la faille ne permet pas d’accéder aux données de l’utilisateur, mais pourrait être bien plus violente si elle est combinée à une autre faille. “L’armée est prête, il ne manque plus que l’ordre d’attaquer via une autre vulnérabilité”, explique Lyra Rebane, chercheuse en sécurité qui a découvert la faille en 2022. Pour l’utilisateur, il n’existe pas encore de mise à jour permettant de combler la faille. Il n’y a donc, pour l’heure, pas d’action à entreprendre. Il convient d’ailleurs de noter que Firefox et Safari ne sont pas touchés par le problème.