Google déploie une mise à jour importante de Chrome afin de corriger plusieurs failles de sécurité, dont une jugée « à haute gravité » dans son moteur graphique ANGLE. Concrètement, une page web piégée peut, dans certains cas, provoquer des accès mémoire non autorisés. Pour l’utilisateur, le message est limpide : installer la mise à jour et relancer le navigateur immédiatement.
Ce que l’on sait des failles
Le correctif phare vise une vulnérabilité référencée CVE-2025-8901. Elle touche ANGLE, la couche qui traduit les instructions graphiques pour la carte vidéo. En termes simples, un contenu HTML spécialement conçu peut pousser le navigateur à écrire en dehors des zones mémoire prévues. Ce type de bug ouvre la voie à des comportements imprévus ; plantage, fuite d’informations, voire exécution de code dans certains scénarios , selon le contexte.
Deux autres failles, de gravité « moyenne », sont patchées dans la même livraison :
- CVE-2025-8881 : anomalie d’implémentation dans le sélecteur de fichiers (File Picker), pouvant entraîner des fuites de données inter-origines si l’utilisateur est amené à réaliser certains gestes d’interface.
- CVE-2025-8882 : use-after-free dans Aura, la couche d’interface de Chrome ; là encore, l’exploitation suppose des interactions précises, mais elle peut déboucher sur une corruption du tas et, in fine, des attaques plus sophistiquées.
Important à retenir : la faille d’ANGLE peut être déclenchée via une page web piégée, quand les deux autres exigent généralement des interactions de l’utilisateur. Dans tous les cas, l’enjeu est de limiter la surface d’attaque en appliquant la mise à jour.
Versions concernées et disponibilité
La Stable de Chrome a été portée aux versions 139.0.7258.127/.128 sur Windows et macOS et 139.0.7258.127 sur Linux. Sur Android, Chrome 139 est également en cours de diffusion via le Play Store. Sur iOS, Chrome 139 a été publié en début de mois. Comme souvent, le déploiement est progressif selon les régions et les appareils. Pour être effectivement protégé, il faut relancer le navigateur après l’installation.
Au-delà d’ANGLE, la fournée comprend d’autres corrections de sécurité, notamment côté moteur JavaScript et bibliothèques multimédia. Google publie la liste des CVE corrigées une fois la majorité des utilisateurs mise à jour, justement pour éviter de donner aux attaquants une notice d’exploitation avant que le correctif n’ait atteint tout le monde.
Pourquoi c’est crucial
Les navigateurs sont des cibles de choix : ils sont l’interface directe entre l’utilisateur et le web. Une faille exploitable dans ce périmètre permet de rediriger vers des pages d’hameçonnage, d’exécuter du code à distance ou de voler des jetons de session. Les acteurs malveillants scrutent donc systématiquement les notes de version pour créer des exploits « sur étagère » dès l’annonce des correctifs. Chaque jour sans mise à jour accroît le risque, surtout pour des failles de type dépassement de mémoire.
Comment mettre à jour (30 secondes chrono)
Sur Windows et macOS
- Ouvrez Chrome.
- Menu ⋮ → Aide → À propos de Google Chrome.
- La mise à jour se télécharge automatiquement.
- Cliquez sur Relancer.
Sur Android
- Ouvrez le Play Store.
- Profil → Gérer les applis et l’appareil → Mises à jour disponibles.
- Recherchez Chrome → Mettre à jour.
- Relancez l’appli.
Sur iPhone/iPad
- Ouvrez l’App Store.
- Onglet Mises à jour (ou Profil → Mises à jour disponibles).
- Mettre à jour Google Chrome.
- Relancez l’appli.
Sur Chromebook (ChromeOS)
- Cliquez sur l’horloge → Paramètres → À propos de ChromeOS.
- Rechercher des mises à jour → Redémarrer.
Êtes-vous protégé ?
Sur ordinateur, retournez dans Aide → À propos de Google Chrome : si l’indication « Chrome est à jour » s’affiche après relance, le correctif est actif. Sur mobile, contrôlez la version dans Paramètres → À propos de Chrome. Si votre appareil n’a pas encore reçu la mise à jour, retentez dans la journée ; le déploiement est échelonné.
Foire aux questions
Le mode Incognito me protège-t-il des exploits ?
Non. Le mode privé évite la conservation locale de l’historique et des cookies, mais ne corrige pas une faille. Seule la mise à jour ferme la brèche.
Faut-il réinstaller Chrome à chaque fois ?
Non. Chrome se met à jour tout seul ; il suffit de relancer. La réinstallation ne sert qu’en cas d’installation corrompue.
Vais-je perdre mes onglets en relançant ?
Activez l’option « Continuer là où vous vous étiez arrêté » pour restaurer automatiquement les onglets après redémarrage.
Et les versions gérées par mon entreprise ?
Les parcs supervisés peuvent différer les mises à jour ; si Chrome affiche un message de gestion, rapprochez-vous de l’équipe IT pour libérer la nouvelle version.
"Chrome ne s'est pas correctement arrêté" Que faire?
Les signes d’une infection… et la marche à suivre
Symptômes qui doivent alerter :
- extensions inconnues apparues sans action de votre part ;
- moteur de recherche ou page d’accueil changé ;
- pop-ups et redirections intempestives, y compris sur des sites réputés ;
- alertes de connexion inhabituelles sur vos comptes.
Dans ce cas :
- Mettez à jour et relancez Chrome ;
- supprimez toute extension suspecte (Menu ⋮ → Extensions → Gérer les extensions) ;
- lancez un scan avec une solution de sécurité réputée ;
- changez les mots de passe sensibles (messagerie, banque, réseaux sociaux) et activez l’authentification à deux facteurs.
Pour tout résumer :
- Une faille à haute gravité dans ANGLE (CVE-2025-8901) est corrigée dans la Stable de Chrome 139.
- Deux failles « moyennes » (CVE-2025-8881 File Picker, CVE-2025-8882 Aura) sont également traitées.
- Les mises à jour sont disponibles sur Windows, macOS, Linux et diffusées sur Android et iOS.
- Relancez Chrome après la mise à jour pour être pleinement protégé.