Google vient de corriger une autre vulnérabilité zero-day activement exploitée dans Chrome (CVE-2025-10585), un bogue de confusion de types dans le moteur V8 JavaScript/WebAssembly. En termes simples, on peut piéger V8 pour qu’il gère mal certains types de données, ce qui permet à un attaquant de lire ou d’écrire en mémoire là où il ne devrait pas—souvent la première étape vers l’exécution de code arbitraire dans le contexte de votre navigateur. Il s’agit du sixième zero-day Chrome de 2025, ce qui montre à quel point les navigateurs sont fréquemment sondés par des groupes criminels et des courtiers en exploits.

La correction est déployée sous la forme de Chrome 140.0.7339.185/.186 sur Windows/macOS et 140.0.7339.185 sur Linux. Mettez à jour maintenant et, surtout, redémarrez le navigateur; Chrome télécharge les mises à jour en arrière-plan, mais la protection n’est active qu’après un redémarrage. Si votre entreprise utilise Chrome ou tout navigateur basé sur Chromium (Microsoft Edge, Brave, Opera, Vivaldi), appliquez aussi leurs dernières mises à jour—ces éditeurs héritent du problème V8 et suivent généralement avec des versions correctives rapides. Google a confirmé qu’un exploit existe « dans la nature », donc ce n’est pas un cas de laboratoire; il est utilisé contre de vrais utilisateurs dans de vraies attaques.

Pour les PME canadiennes (5 à 250 employés, jusqu’à 50 M$ de revenus), le risque métier est clair et immédiat. Un utilisateur peut être compromis par un drive-by—en visitant un site piégé, en cliquant une publicité malveillante ou en chargeant un widget compromis—sans avertissement évident.

Une fois que du code s’exécute dans le navigateur, les attaquants visent le vol de données (fichiers téléchargés, champs de formulaires), la prise de contrôle d’identifiants (coffres de mots de passe, témoins SSO, jetons de session) et l’amorçage d’un rançongiciel (chargeurs qui établissent une persistance puis contactent le centre de commande). À partir de là, le mouvement latéral vers les partages de fichiers et le courriel est courant. Le correctif est gratuit; le coût du retard se traduit par des arrêts de service, de l’exposition réglementaire et des dommages à la réputation.

Pour réduire l’exposition pendant les fenêtres de correctifs :

• Surveillez les plantages inhabituels du navigateur ou les nouvelles tâches planifiées après la navigation.
• Limitez les extensions risquées et n’autorisez que celles nécessaires aux activités d’affaires (liste d’autorisation).
• Activez la Navigation sécurisée améliorée pour les rôles finances, RH et direction.
• Faites respecter les politiques de mise à jour automatique et incitez les utilisateurs à redémarrer durant les heures ouvrables.

Ce qui s’est passé

Vulnérabilité : CVE-2025-10585, un défaut de confusion de types dans le moteur V8 JavaScript/WebAssembly de Chrome qui amène du contenu web conçu à dessein à mal gérer la mémoire.

Statut : Exploité dans la nature; Google retient des détails techniques approfondis jusqu’à ce que la base d’utilisateurs soit mise à jour afin de réduire les copies malveillantes de l’exploit.

Versions corrigées : 140.0.7339.185/.186 (Windows/macOS); 140.0.7339.185 (Linux)—redémarrage requis pour être protégé.

Correctifs connexes dans la même version : Vulnérabilités de gravité élevée dans Dawn, WebRTC et ANGLE (CVE-2025-10500/10501/10502).

Contexte : Le sixième zero-day Chrome de 2025, après des cas en mai et en juillet (p. ex., CVE-2025-4664, CVE-2025-6554).

Réalité des attaques : La livraison se fait souvent via malvertising, sites d’abreuvement (« watering hole ») ou widgets tiers compromis. La confusion de types mène fréquemment à l’exécution de code arbitraire, que les attaquants enchaînent pour sortir du bac à sable ou déposer des maliciels. Les utilisateurs de PME visitant un site piégé peuvent être compromis sans aucune invite—pas de téléchargement, pas d’avertissement visible—d’où l’importance d’un correctif rapide et de redémarrages imposés.

Qui est touché?

Tous les utilisateurs de Chrome sur Windows, macOS et Linux avant la version 140.0.7339.185/.186.

• Les navigateurs basés sur Chromium (p. ex., Microsoft Edge, Brave, Opera, Vivaldi) intègrent généralement le correctif en amont peu après la publication de Google—mais il faut quand même mettre à jour et redémarrer ces navigateurs. Cela inclut aussi le Microsoft Edge WebView2 Runtime utilisé par de nombreuses applis de bureau; assurez-vous qu’il soit à jour.
• Canaux gérés/étendus : Si vous utilisez Chrome Enterprise avec les canaux Stable ou Extended Stable, la mise à jour se déploie selon la politique; les administrateurs doivent toutefois imposer les redémarrages et vérifier la conformité.

Nuances :

• Les environnements VDI/kiosques/affichage numérique et les applis qui intègrent CEF (Chromium Embedded Framework) sont visés dès que leurs fournisseurs publient des versions corrigées.
• Les appareils ChromeOS reçoivent des mises à jour de plateforme séparément—laissez Mise à jour automatique activée.
• Chrome sur Android doit être mis à jour via le Play Store; sur iOS, « Chrome » utilise WebKit (pas V8), donc ce bogue précis ne s’applique pas, mais mettez tout de même à jour.

Risque pour les PME

• Vol d’identifiants et prise de contrôle de compte : Les mots de passe stockés dans le navigateur, les jetons de session et les témoins SSO sont des joyaux de la couronne. Avec un exploit fonctionnel, les attaquants peuvent contourner entièrement les pages de connexion en détournant des sessions actives, puis créer de nouvelles clés API, des mots de passe d’application ou des autorisations OAuth qui survivent à un simple changement de mot de passe. Attendez-vous à du compromis de courriel d’affaires (BEC), des factures frauduleuses et des redirections de paie qui semblent légitimes parce qu’elles proviennent d’un vrai compte.
• Accès initial et mouvement latéral : Les attaquants atterrissent via le navigateur, puis basculent vers les partages de fichiers, l’ERP ou le courriel. À partir d’un seul poste compromis, ils énumèrent les partages, récoltent les identifiants du navigateur et du système, et progressent de façon discrète et graduelle vers les postes de la finance et de la direction. Le nuage n’est pas épargné—les navigateurs compromis conservent souvent des sessions SaaS persistantes (Microsoft 365, Google Workspace, QuickBooks Online, Salesforce), transformant le cloud en amplificateur de vol de données.
• Activation d’un rançongiciel : Exploit du navigateur → dropper (chargeur) → identifiants de domaine → chiffrement. Les groupes modernes pratiquent la double extorsion avec exfiltration de données. Même si vous refusez de payer, ils menacent de divulguer des contrats clients, des dossiers d’employés ou la tarification fournisseurs—sapant la confiance et votre pouvoir de négociation.
• Exposition réglementaire : La LPRPDE (PIPEDA) et les lois provinciales (p. ex., la Loi 25 au Québec) exigent des mesures de protection et des avis de brèche avec échéanciers et pénalités. Un incident initié par le navigateur touchant des renseignements personnels déclenche le recours à des services juridiques, des analyses médico-légales et des campagnes de notification—des coûts qui s’additionnent et accaparent la direction.
• Temps d’arrêt opérationnel : Une journée d’interruption pour une entreprise de 40 employés peut dépasser le coût de plusieurs années de gestion des correctifs. Au-delà de la perte de revenus, considérez l’impact sur la chaîne d’approvisionnement (SLA manqués, rétrofacturations), les frictions avec l’assurance cyber (examen des réclamations, primes plus élevées) et les atteintes à la marque qui perdurent bien après le rétablissement des systèmes.

Guide de l’administrateur TI

A. Gouvernance et stratégie de mise à jour

Gardez les mises à jour automatiques ACTIVÉES. C’est la valeur par défaut; ne les désactivez pas. Utilisez les politiques Chrome Enterprise pour les appliquer. Définissez une PONCT (procédure opérationnelle) de correctif d’urgence du navigateur : qui approuve, qui exécute, comment vérifier, et comment communiquer aux utilisateurs. Maintenez des anneaux de déploiement (pilote → général) afin de valider les applis Web critiques avant le déploiement complet sans retarder les correctifs de sécurité. Pour les appareils des cadres et des finances, traitez les correctifs du navigateur comme des mises à jour OS hors cycle avec des SLA le même jour.

Canaux de diffusion : Utilisez Stable pour la majorité; envisagez Extended Stable seulement pour les kiosques ou stations métier—mais acceptez que vous accuserez un retard sur les correctifs de sécurité. Documentez chaque exception avec un contrôle compensatoire (p. ex., filtrage DNS plus strict, aucun accès Internet vers des domaines inconnus).

Fréquence : Chrome vérifie régulièrement; avec la politique vous pouvez réduire l’intervalle des vérifications (AutoUpdateCheckPeriodMinutes) et bloquer les contournements. Associez à une fenêtre de redémarrage (p. ex., rappels toutes les 15 minutes jusqu’à un redémarrage forcé après les heures).

B. Appareils Windows gérés (GPO/Intune)

Importez les ADMX/ADML pour Chrome et Google Update. Paramètres de base :

• Update policy override default → Always allow updates
• AutoUpdateCheckPeriodMinutes → 60–120 lors d’événements zero-day
• TargetChannel → stable
• UpdateDefault → AlwaysAllowUpdates
• MetricsReportingEnabled & BrowserCrashReportingEnabled → Enabled

Ajoutez des avis de relance automatique et une période de grâce (p. ex., 4 h) durant les heures ouvrables avec un basculement forcé de nuit. Dans Intune, utilisez des profils de configuration ou PowerShell pour définir les clés sous HKLM\Software\Policies\Google\Update. Vérifiez via chrome://policy et collectez via votre RMM. Auditez les mises à jour de Microsoft Edge WebView2 dans la même passe.

C. Appareils macOS gérés

Gérez avec Intune, Kandji, Jamf ou Chrome Browser Cloud Management. Déployez un profil/mobileconfig pour imposer la mise à jour automatique, désactiver le mode développeur et bloquer le chargement latéral d’extensions. Utilisez l’inventaire MDM pour alerter sur les versions sous le seuil sécuritaire et créez un élément Self Service qui force mise à jour + relance pour les retardataires.

D. Postes de travail Linu

Mettez à jour via APT/YUM/Zypper ou le dépôt de Google; assurez-vous que le paquet 140.0.7339.185 est présent et que l’épingle (pinning) ne bloque pas les mises à niveau. Automatisez les vérifications avec une tâche cron qui journalise google-chrome --version vers votre SIEM. Pour les images immuables, reconstruisez l’image dorée immédiatement et déployez.

E. ChromeO

ChromeOS se met à jour séparément du navigateur Chrome, mais les atténuations zero-day arrivent généralement rapidement. Gardez Mise à jour automatique activée dans la console d’administration; évitez de mettre en pause sauf problème bloquant confirmé. Utilisez les épingles de version avec parcimonie et activez le redémarrage automatique après mise à jour pour les kiosques et appareils partagés.

F. Vérification et rapports (ce qu’il faut prouver à la direction)

Suivez :

• Couverture : % d’endpoints à 140.0.7339.185/.186 et plus (objectif ≥ 95 % en 24 h).
• Temps jusqu’au correctif : Médiane entre l’avis et le redémarrage du navigateur.
• Exceptions : OS hérités/VDI et appareils hors ligne avec ÉCHÉANCIERS (ETA) et responsables.
• Qualité : Taux de plantage après mise à jour, billets helpdesk, conflits d’extensions.

Publiez un tableau de bord d’une page chaque jour durant l’événement et concluez par une revue post-incident et une PONCT mise à jour.

Détection et intervention : quoi surveiller si vous pensez avoir été ciblé

• nstabilité du navigateur + boucles de plantages autour du moment suspect.
• Nouvelles tâches planifiées/LaunchAgents créées immédiatement après une session Web.
• Extensions inconnues avec des permissions élevées ajoutées discrètement.
• Indicateurs réseau : Connexions sortantes inhabituelles vers des domaines récemment enregistrés, des CDN servant des charges, ou des nœuds TOR.
• Anomalies d’identifiants : Pics de demandes MFA, nouveaux consentements OAuth ou connexions depuis des emplacements atypiques.

Indicateurs approfondis (à ajouter à votre chasse) :

• Ascendance de processus : Le navigateur qui lance powershell, cmd, mshta, curl ou rundll32 est un drapeau rouge.
• Pistes de persistance : Nouvelles clés Run/RunOnce, LaunchAgents sur macOS, ou tâches planifiées aux noms anodins (p. ex., « Chrome Helper »).
• Traces système de fichiers : Exécutables récents dans %AppData%, %LocalAppData%\Temp, ~/Library/Application Support/ ou /tmp.
• Artefacts Chrome : Vérifiez chrome://version (build exact), chrome://policy (politiques inattendues) et le dossier Extensions (éléments non signés ou récemment modifiés).
• Journaux SaaS : Portails admin Microsoft 365/Google Workspace montrant des octrois de jetons, règles de boîte aux lettres ou des consentements d’app.

Étapes d’intervention (IR) :

• Isolez les endpoints suspects du réseau.
• Recueillez les artefacts volatils (RAM si possible), vidages de plantage du navigateur, liste des extensions, prefetch et ShimCache/Amcache.
• Balayez avec l’EDR pour les outils de post-exploitation courants (balises Cobalt Strike, installations AnyDesk/RustDesk).
• Réinitialisez les mots de passe des utilisateurs touchés; révoquez les sessions dans Google Workspace/Microsoft 365.
• Restaurez à partir de sauvegardes saines si l’intégrité est douteuse; analysez les archives avant réintégration.

Structure et échéanciers :

• Triage (0–2 h) : Contenir, capturer les données volatiles, figer les journaux pertinents (DNS, proxy, EDR).
• Éradication (2–24 h) : Mettre à jour les navigateurs, supprimer la persistance, faire tourner les secrets (jetons OAuth, clés API).
• Récupération (24–48 h) : Réimager les machines à haut risque, valider par des scans EDR propres, puis réactiver l’accès réseau.
• Suivi : Mettre à jour la formation de sensibilisation, ajuster les règles EDR (« navigateur → lanceur de scripts ») et documenter les leçons retenues pour la direction.

Hardening Chrome in an SMB

Commencez par standardiser une base gérée de navigateur et la déployer via votre RMM/MDM. L’objectif : moins d’exceptions et une télémétrie claire.

Surveillance et audits : Activez la télémétrie du navigateur + rapports de plantage, dressez l’inventaire des extensions et effectuez un audit mensuel des versions, des extensions et des dérives de politiques. Traitez les exceptions (kiosques, équipements de labo, applis Web héritées) comme à haut risque avec des contrôles compensatoires et des fenêtres de correctifs plus courtes.

Navigation sécurisée améliorée (ESB) : Activez l’ESB par politique pour la finance, les RH, les adjoint(e)s de direction et l’équipe TI. L’ESB vérifie en temps réel les URL et téléchargements et signale les extensions risquées. Associez-la à la protection des téléchargements (blocage des types exécutables pour les rôles non TI) et exigez une justification pour tout contournement.

Contrôle des extensions : Passez à un modèle de liste d’autorisation. Approuvez une courte liste (p. ex., gestionnaire de mots de passe, lecteur PDF, outils de visioconférence) et bloquez le reste. Désactivez le mode Développeur et empêchez « Installer à partir d’un fichier » pour couper le sideloading malveillant. Révisez trimestriellement les permissions et retirez celles qui demandent un large accès aux données ou au presse-papiers.

Désactiver le débogage à distance : Désactivez les indicateurs remote-debugging et bloquez l’accès à chrome://flags pour les utilisateurs non TI. Les attaquants abusent souvent des cibles DevTools à distance pour injecter des scripts.

Isolation de site / isolation stricte d’origine : Activez SitePerProcess et ajoutez IsolateOrigins pour vos applis critiques (banque, ERP, paie). Cela impose des frontières de processus plus strictes, réduisant le rayon d’explosion des bogues du moteur de rendu.

Identité et auth : Uniformisez un gestionnaire d’identifiants d’entreprise et appliquez WebAuthn (FIDO2) / clés d’accès pour les consoles d’administration, la banque et le courriel. Désactivez l’exportation des mots de passe du navigateur, exigez une réauthentification avant d’afficher les mots de passe enregistrés et effacez les témoins des sites sensibles à la fermeture du navigateur.

Couches réseau et endpoint : Épaulez le navigateur avec la sécurité DNS (filtrage maliciel/C2), la sécurité courriel (réécriture d’URL + sandbox) et l’EDR/XDR pour détecter les processus enfants suspects (p. ex., navigateur → PowerShell). Envisagez de bloquer QUIC pour les segments à haut risque si votre chaîne d’inspection ne peut pas l’analyser—mais testez l’impact applicatif.

Discipline de mise à jour : Imposez la mise à jour automatique, raccourcissez les intervalles de vérification et incitez aux redémarrages pendant les heures ouvrables. Suivez la conformité aux redémarrages comme ICP.

Expérience utilisateur et formation : Apprenez au personnel à ouvrir À propos de Chrome, pourquoi les redémarrages comptent et comment signaler un comportement anormal (fenêtres intempestives, déconnexions soudaines, invites inhabituelles). Ajoutez un favori dans la barre des tâches « Signaler un incident de sécurité » pointant vers votre formulaire de soutien.

Résumé exécutif pour la direction

Situation : Zero-day Chrome actif; correctif disponible maintenant. Traitez-le comme un enjeu de continuité des activités, pas seulement d’hygiène TI. Le vecteur d’attaque est la navigation Web—votre activité la plus courante—et l’exploit est confirmé dans la nature.

Impact d’affaires : Risque accru de compromission silencieuse → rançongiciel, vol de données, exposition réglementaire et atteinte à la réputation. Un seul poste compromis peut pivoter vers les systèmes financiers ou le SaaS (Microsoft 365/Google Workspace), déclenchant fraude aux factures, règles de boîte aux lettres malicieuses et exfiltration de données. Une journée d’arrêt peut dépasser le coût de plusieurs années de gestion rigoureuse des correctifs.

Réponse : Nous avons imposé les mises à jour et redémarrages; >95 % de couverture en 24 heures; surveillance EDR accrue; aucun indicateur de compromission à ce jour. Les exceptions (héritage/VDI/hors ligne) sont isolées et prises en charge avec des échéanciers de remédiation. Le centre d’assistance est briefé; des communications claires « mettre à jour + redémarrer » ont été envoyées au personnel.

Prochaines étapes (demandes exécutives & gouvernance) :

• Approuver une PONCT de correctif d’urgence du navigateur, avec droits décisionnels (DSI/CIO responsable, RSSI/CISO valide), et un ICP de temps-jusqu’au-redémarrage (cible < 8 h; maximum 24 h).
• Rendre obligatoires les contrôles en couches : Navigation sécurisée améliorée pour les rôles à haut risque, liste d’autorisation d’extensions, et protections DNS/EDR.
• Exiger des preuves de contrôle : tableau de bord hebdomadaire sur les versions de navigateurs, la conformité aux redémarrages et la réduction des exceptions.
• Exercice de table sous 30 jours : scénario drive-by → rançongiciel, incluant juridique/relations publiques.
• Risque tiers : Demander aux fournisseurs/MSP critiques une attestation de leur statut de correctif Chrome et de l’application des redémarrages.
• Assurance & conformité : Aviser le courtier si la police exige une déclaration d’incident; s’assurer que les journaux/archives sont conservés pour audit.
• Budget : Coût incrémental minime; l’investissement principal est la discipline—automatisation des mises à jour, surveillance et incitations aux utilisateurs.

Pourquoi Fusion Cyber parle tant de « couches »

Les zero-days arrivent. Même des logiciels de calibre mondial se font percer. La sécurité en couches est la façon dont les petites équipes survivent :

• SOC 24/7 + MDR/XDR pour repérer les signaux faibles dans le bruit.
• Gestion des vulnérabilités et des correctifs pour raccourcir la fenêtre d’exposition.
• Défenses DNS et courriel pour bloquer les voies de livraison courantes.
• Sauvegardes & PCA/PRA (BCDR) pour restaurer rapidement si la contention échoue.
• Formation de sensibilisation pour renforcer la dernière ligne de défense : les gens.

Si, malgré vos efforts, vous êtes compromis, la Garantie de cybersécurité adossée financièrement de Fusion Cyber couvre l’intervention complète, la confinement et la reprise d’affaires pour les clients entièrement intégrés—à nos frais. Nous alignons nos incitatifs sur vos résultats.

Prêt à transformer les insights en réduction des surfaces d’attaque, détection plus rapide et SLA de remédiation clairs?

👉 Contactez-nous dès aujourd’hui!