Vulnérabilités critiques Google Chrome : pourquoi votre navigateur non mis à jour est une porte ouverte

Votre navigateur est peut-être en train de vous trahir

On ne se méfie jamais assez de son navigateur. Pourtant, c’est le logiciel le plus utilisé sur un ordinateur, celui par lequel transite tout : mots de passe, courriels, transactions bancaires, conversations privées. Et quand Google Chrome traîne une vulnérabilité non corrigée, c’est littéralement une porte dérobée ouverte sur votre vie numérique.

En juillet 2025, le Centre gouvernemental de cyberdéfense du Québec (CERTQC) publiait l’avis CERTQC-AVIS-2025-261 : trois vulnérabilités dans Chrome, dont une activement exploitée par des attaquants. Quelques mois plus tard, en mai 2026, la Direction Générale de la Sécurité des Systèmes d’Information du Maroc (DGSSI) publiait à son tour un bulletin d’alerte signalant 16 nouvelles vulnérabilités critiques.

Deux avis officiels, deux vagues de failles, un constat : Chrome reste une cible de choix, et les utilisateurs québécois ne sont pas épargnés.

Ce que les deux avis officiels disent exactement

CERTQC-AVIS-2025-261 — Québec, juillet 2025

Le CERTQC, rattaché au Ministère de la Cybersécurité et du Numérique du Québec, a classé cet avis au niveau de risque Important. Les détails :

• Versions touchées : Chrome antérieur à 138.0.7204.157 (Linux) et 138.0.7204.157/.158 (Windows et Mac)
• CVE identifiées : CVE-2025-6558, CVE-2025-7656, CVE-2025-7657
• CVE-2025-6558 : activement exploitée en milieu naturel — ce n’est pas théorique
• Impact : exécution de code arbitraire à distance, exploitation locale possible
• Protocole : PFC LIBRE (information publique, diffusion non restreinte)

Le CERTQC demande aux organismes publics québécois de tester et déployer les mises à jour. Mais le message vaut pour tout le monde. Quand une faille est classée PFC LIBRE et qualifiée d‘“activement exploitée”, c’est que le danger est réel et immédiat.

Bulletin DGSSI — Maroc, mai 2026

La DGSSI du Maroc a publié un bulletin signalant des vulnérabilités critiques dans Chrome antérieures aux versions 148.0.7778.178/179 :

• Versions touchées : Chrome antérieur à 148.0.7778.178 (Linux) et 148.0.7778.178/179 (Windows et Mac)
• 16 CVE identifiées : de CVE-2026-9110 à CVE-2026-9126
• Risques : exécution de code arbitraire à distance, contournement des mécanismes de sécurité, déni de service, atteinte à la confidentialité et à l’intégrité des données

La version critique ici : les deux avis sont séparés de quelques mois, mais ils montrent un pattern clair. Chrome est attaqué en continu, et les correctifs se succèdent sans que les utilisateurs prennent conscience du danger.

Pourquoi Chrome est une cible de choix pour les cybercriminels

Chrome représente environ 65 % du marché des navigateurs dans le monde. Au Québec, ce chiffre est probablement similaire, voire plus élevé dans les entreprises et les institutions publiques. Quand un attaquant veut compromettre le maximum de machines avec le minimum d’effort, il cible Chrome. C’est mathématique.

Mais ce n’est pas qu’une question de volume. Chrome est complexe. Le navigateur intègre un moteur de rendu (Blink), un moteur JavaScript (V8), un système de extensions, des API web puissantes, un lecteur PDF intégré, et des dizaines de composants hérités de Chromium. Chaque couche ajoute des millions de lignes de code. Et chaque million de lignes de code ajoute des bugs potentiellement exploitables.

Le moteur V8, qui compile et exécute le JavaScript, est particulièrement sensible. Des chercheurs en sécurité trouvent régulièrement des failles de type “type confusion” ou “out-of-bounds read” dans V8. Ces failles permettent à une page web malveillante d’exécuter du code en dehors de la sandbox du navigateur — c’est-à-dire directement sur votre système d’exploitation.

Le problème de la mise à jour automatique… qui ne l’est pas vraiment

Chrome est censé se mettre à jour automatiquement en arrière-plan, comme les mises à jour iOS, Android et Windows qui colmatent les failles à la source. En théorie. En pratique, plusieurs choses peuvent bloquer ce mécanisme :

• L’ordinateur est éteint ou en veille au moment de la vérification
• Une politique d’entreprise bloque les mises à jour automatiques
• L’utilisateur ignore la notification “Relancer pour mettre à jour”
• Une extension ou un antivirus interfère avec le processus
• L’ordinateur n’a pas été redémarré depuis des semaines

Chez des clients qu’on accompagne à Québec, on voit régulièrement des Chrome avec 3, 4, parfois 6 versions de retard. Sur un Mac qui reste en veille plus souvent qu’il ne s’éteint, la mise à jour peut rester en attente pendant des jours sans que personne ne s’en rende compte.

Concrètement, que peut faire un attaquant avec ces failles?

Les deux avis officiels parlent d‘“exécution de code arbitraire à distance”. C’est le scénario le plus dangereux, et voici ce que ça signifie vraiment pour un utilisateur :

Scénario 1 — La page web piégée : Vous visitez un site qui semble normal. En arrière-plan, le code JavaScript de la page exploite la faille V8. Sans cliquer sur quoi que ce soit, sans télécharger aucun fichier, l’attaquant installe un keylogger silencieux qui enregistre tout ce que vous tapez : mots de passe, numéros de carte, messages privés.

Scénario 2 — La publicité malveillante : Vous lisez un article sur un site d’actualités respectable. Une publicité programmatique affiche une bannière qui, en réalité, contient un exploit. Les réseaux publicitaires sont des vecteurs d’attaque majeurs. Même les sites légitimes peuvent servir de plateforme sans le savoir.

Scénario 3 — L’extension compromise : Une extension Chrome populaire est rachetée par une entreprise malveillante ou son compte développeur est piraté. La mise à jour de l’extension injecte du code qui exploite la vulnérabilité. Des millions d’utilisateurs sont touchés en une seule fois — c’est pourquoi les extensions de navigateur sont une surface d’attaque à surveiller de près.

Scénario 4 — Le courriel avec lien : Un courriel de phishing vous redirige vers une page qui exploite la faille. Le courriel peut imiter une notification de Revenu Québec, un avis de votre institution bancaire, ou un message de votre employeur. Un clic, et c’est trop tard.

Au Québec, les arnaques par courriel ont bondi de 40 % entre 2024 et 2025 selon les données du CAFC. Les failles navigateur sont un outil dans l’arsenal des fraudeurs, et elles sont particulièrement efficaces parce qu’elles ne nécessitent aucune action de la victime au-delà de visiter une page web.

Les autres navigateurs sont-ils touchés?

C’est une question qu’on nous pose souvent. La réponse courte : oui, indirectement.

Edge, Brave, Opera et Vivaldi utilisent le même moteur que Chrome — Chromium. Quand une vulnérabilité touche le cœur de Chromium, tous ces navigateurs sont potentiellement vulnérables. Ils publient généralement leurs correctifs dans les jours qui suivent Google, mais le délai peut varier.

Firefox, construit sur le moteur Gecko, n’est pas concerné par les CVE spécifiques de Chrome. Mais Firefox a ses propres vulnérabilités — personne n’est à l’abri. Mozilla publie régulièrement des correctifs de sécurité critiques.

Safari, sur Mac et iOS, est dans la même situation. Le moteur WebKit a ses propres failles, corrigées par les mises à jour macOS et iOS.

La leçon : quel que soit votre navigateur, les mises à jour ne sont pas optionnelles. Et si vous utilisez Chrome (comme la majorité des internautes), ces deux avis officiels vous concernent directement.

Comment vérifier votre version de Chrome et mettre à jour

La vérification prend 30 secondes. Pas d’excuse.

Sur Windows

1. Ouvrez Chrome
2. Cliquez sur les trois points en haut à droite
3. Sélectionnez Aide > À propos de Google Chrome
4. La page affiche votre version et vérifie automatiquement les mises à jour
5. Si une mise à jour est disponible, elle s’installe immédiatement
6. Cliquez sur Relancer quand demandé

Sur Mac

La procédure est identique. Les trois points > Aide > À propos de Google Chrome. Si votre Mac est configuré pour mettre à jour les apps via l’App Store, notez que Chrome ne passe PAS par l’App Store sur Mac. Il gère ses propres mises à jour en interne.

Sur Android

Paramètres > Applications > Chrome > À propos. Ou simplement ouvrir Chrome, aller dans les paramètres, et vérifier la version.

Sur iPhone et iPad

Chrome sur iOS utilise le moteur WebKit d’Apple, pas Chromium. Les mises à jour passent par l’App Store. Vérifiez que vos apps sont à jour dans l’App Store.

Pour les entreprises et les organismes publics québécois

Le CERTQC s’adresse explicitement aux organismes publics dans son avis. Si vous gérez un parc informatique, voici ce qu’il faut faire :

1. Vérifier les versions sur tous les postes. Un script PowerShell (Windows) ou Bash (Mac/Linux) peut remonter les versions installées en quelques minutes.

2. Forcer les mises à jour via stratégie de groupe (GPO) sur Windows ou profil de configuration MDM sur Mac. Google fournit des modèles ADMX pour Chrome que vous pouvez déployer via Active Directory ou Intune.

3. Bloquer les anciennes versions. Si votre proxy ou pare-feu peut inspecter le User-Agent, bloquez l’accès internet aux Chrome antérieurs aux versions corrigées.

4. Documenter la conformité. Le CERTQC le demande, et en cas d’audit de sécurité (obligatoire sous la Loi 25), vous devrez prouver que les mises à jour ont été appliquées.

5. Communiquer avec vos utilisateurs. Un simple courriel “Veuillez vérifier que Chrome est à jour” ne suffit pas. Donnez des instructions claires avec des captures d’écran, ou mieux, organisez une mise à jour centralisée.

Loi 25 et obligation de protection des systèmes

Au Québec, la Loi 25 (Loi modernisant des dispositions législatives en matière de protection des renseignements personnels) impose aux organisations de prendre des mesures raisonnables pour protéger les renseignements personnels. Un navigateur non mis à jour avec une faille connue et activement exploitée, c’est l’inverse d’une mesure raisonnable.

Si des données personnelles sont compromises à cause d’une vulnérabilité connue depuis des mois et qu’aucune mise à jour n’a été appliquée, la Commission d’accès à l’information du Québec pourrait considérer que l’organisation n’a pas pris les mesures nécessaires. Les amendes peuvent atteindre 10 millions de dollars ou 2 % du chiffre d’affaires mondial.

Les signes que votre Chrome a été compromis

Si vous avez tardé à mettre à jour, soyez attentif à ces signes :

• Chrome est plus lent que d’habitude ou consomme anormalement de CPU/mémoire
• Des extensions que vous n’avez pas installées apparaissent
• Votre page d’accueil ou votre moteur de recherche a changé sans votre consentement
• Des pop-ups apparaissent sur des sites où il n’y en avait pas avant
• Chrome se ferme de façon inattendue
• Votre mot de passe Google a été changé sans que vous l’ayez fait

Si vous observez un ou plusieurs de ces signes, mettez immédiatement Chrome à jour, changez vos mots de passe importants (banque, courriel, médias sociaux), et envisagez un scan complet avec un antivirus à jour. Dans les cas graves, une réinstallation propre de Chrome s’impose.

Quelques habitudes pour rester protégé

Mettre Chrome à jour une fois, c’est bien. Maintenir un navigateur sécurisé en permanence, c’est mieux. Voici des habitudes concrètes :

Redémarrez votre ordinateur régulièrement. Chrome vérifie les mises à jour au démarrage. Un ordinateur qui reste en veille pendant des semaines peut rater plusieurs cycles de mise à jour.

Activez Enhanced Safe Browsing dans Chrome. Paramètres > Sécurité > Protection améliorée. Ça ne remplace pas les mises à jour, mais ça ajoute une couche de protection contre les sites malveillants et les téléchargements dangereux.

Désinstallez les extensions que vous n’utilisez plus. Chaque extension est une surface d’attaque supplémentaire. Moins vous en avez, moins vous êtes exposé.

Utilisez un gestionnaire de mots de passe. Si Chrome est compromis, les mots de passe enregistrés dans le navigateur sont accessibles à l’attaquant. Un gestionnaire de mots de passe indépendant comme Bitwarden ou 1Password isole vos identifiants du navigateur.

Surveillez les versions de vos proches. Vos parents, vos enfants, vos employés moins à l’aise avec la technologie sont les plus susceptibles d’avoir un Chrome périmé. Prenez 30 secondes pour vérifier quand vous les voyez.

Ce qu’on retient de ces deux avis

Deux organismes gouvernementaux de cybersécurité, sur deux continents différents, publient des alertes critiques pour Chrome à quelques mois d’intervalle. Ce n’est pas une coïncidence. C’est le reflet d’une réalité : Chrome est attaqué en permanence, et les correctifs sont la seule ligne de défense entre vous et une compromission.

Le CERTQC Québec a été clair : la CVE-2025-6558 est activement exploitée. Ce n’est pas un risque théorique réservé aux experts. C’est une menace réelle pour quiconque utilise un Chrome non mis à jour pour naviguer sur internet.

La DGSSI Maroc a confirmé une deuxième vague avec 16 nouvelles vulnérabilités. Le pattern est établi.

Vérifiez votre version maintenant. Pas demain. Pas la semaine prochaine. Maintenant. Les trois clics nécessaires pourraient vous éviter des mois de problèmes.

---

Ressources officielles :

• CERTQC-AVIS-2025-261 — Gouvernement du Québec
• DGSSI Maroc — Vulnérabilités critiques Google Chrome
• Google Chrome Releases — Security Updates

Sequr accompagne les particuliers et les entreprises du Québec en cybersécurité. Besoin d’une vérification de sécurité ou d’un audit de vos systèmes? Contactez-nous au (581) 748-8348 ou visitez sequr.ca.