CSS piraté ? La faille use-after-free de Chromium qui menace vos navigateurs (sévérité 8.8/10)

Publié le 26 février 2026
Faille use-after-free Chromium - vulnérabilité CSS navigateurs

Article de Kami

Le CSS a été piraté. Oui, vous avez bien lu. Le langage que vous connaissez pour mettre des couleurs et repositionner des éléments sur une page web est devenu le vecteur d’une vulnérabilité de sécurité critique notée 8.8/10 — et elle est exploitée activement en ce moment même. Si vous utilisez Google Chrome, Microsoft Edge, Brave ou Opera, vous êtes potentiellement concerné.

Cette faille, classifiée use-after-free, touche le cœur même de votre navigateur : le moteur Chromium. Elle permet à un attaquant d’exécuter du code arbitraire sur votre machine simplement en vous faisant visiter une page web malveillante. Pas besoin de télécharger quoi que ce soit. Une simple visite suffit.

Voici ce que vous devez absolument comprendre sur cette faille, comment elle fonctionne, et surtout comment vous en protéger.

Chromium moteur partagé entre Chrome Edge Opera Brave - schéma

Chromium : le moteur partagé qui rend tous vos navigateurs vulnérables

Pour comprendre pourquoi cette faille est aussi dangereuse, il faut saisir ce qu’est Chromium. Pensez-y comme à la carrosserie nue d’une voiture, un châssis sans logo ni peinture. Google Chrome, Microsoft Edge, Brave et Opera prennent tous ce châssis identique et y ajoutent leurs propres personnalisations : une couleur différente, des options exclusives, une interface propre à chaque marque.

Ce moteur commun est responsable d’une tâche fondamentale : interpréter les trois langages que comprend votre navigateur — HTML, CSS et JavaScript. C’est Chromium qui décide comment afficher un paragraphe, calculer la position d’un élément ou appliquer une couleur de fond. C’est littéralement le cœur de votre navigateur.

La conséquence directe ? Une vulnérabilité dans Chromium touche simultanément l’ensemble de ces navigateurs. Firefox et Safari sont épargnés car ils utilisent leurs propres moteurs distincts (respectivement Gecko et WebKit). Mais pour les utilisateurs de Chrome, Edge, Brave et Opera — soit la vaste majorité des internautes dans le monde — la menace est bien réelle.

Visualisation use-after-free - mémoire libérée réutilisée par un attaquant

La faille use-after-free : quand la mémoire libérée devient une arme

Le nom technique de cette vulnérabilité est use-after-free — littéralement « utilisation après libération ». Pour comprendre ce concept, une analogie simple : imaginez qu’un programme loue temporairement un espace en mémoire, comme un chenil loue un box pour un chien. Quand la location prend fin, le box est libéré et marqué comme vide.

Dans une situation normale, ce box resterait vide jusqu’à la prochaine allocation légitime. Mais avec un bug use-after-free, le programme continue de pointer vers cet espace libéré — comme si le chien était encore là. C’est à ce moment précis que l’attaquant intervient : il s’empresse de remplir ce même espace mémoire avec son propre contenu malveillant (le chat dans notre analogie).

Résultat : quand le programme effectue une action sur ce qu’il croit être l’objet légitime, il exécute en réalité le code de l’attaquant. L’intégralité de l’exploitation repose sur ce décalage entre ce que le programme croit et ce qui se passe réellement en mémoire.

Attaque via CSS corrompu envoyé par un serveur malveillant au navigateur

Comment l’attaque se déroule concrètement : le scénario d’une visite piégée

Le déroulement de l’attaque est d’une simplicité déconcertante pour la victime. Prenons un exemple concret. Julie visite un site web malveillant — c’est sa seule et unique erreur. Elle utilise Google Chrome ou Microsoft Edge. Quand son navigateur charge la page, le serveur lui envoie normalement du HTML, du CSS et du JavaScript.

Dans ce scénario, le CSS envoyé est corrompu. Il a été spécifiquement conçu pour déclencher le bug use-after-free dans Chromium. Aucune interaction supplémentaire n’est requise de la part de Julie : pas de téléchargement, pas de clic sur un lien suspect, pas de saisie d’identifiants. La simple réception et interprétation du CSS malveillant suffit à compromettre son navigateur.

L’attaquant injecte ensuite son code malveillant dans l’espace mémoire libéré. Ce code peut alors faire ce que bon lui semble dans le contexte du navigateur de Julie, avec des conséquences potentiellement dévastatrices. Si vous vous interrogez sur vos pratiques de vie privée numérique, ce type d’attaque silencieuse illustre parfaitement pourquoi la vigilance s’impose.

CSS font-future-value - vecteur d'exploitation de la faille Chromium

CSS et font-future-value : le composant précis qui est exploité

La faille se situe dans un composant CSS très spécifique de Chromium : la gestion des règles de police de caractères, plus précisément un objet interne lié à ce que les chercheurs appellent font-future-value. Voici comment l’exploitation se déroule techniquement.

Quand votre navigateur charge une page utilisant une police de caractères particulière (par exemple, Poppins), Chromium crée un objet CSS en mémoire pour gérer cette règle typographique. Grâce à un script JavaScript malveillant intégré à la page piégée, l’attaquant supprime cet objet — il libère l’espace mémoire correspondant.

Le pointeur interne de Chromium, qui référençait cet objet CSS, se retrouve alors à pointer vers un espace mémoire vide. L’attaquant s’empresse de remplir cet espace avec son propre code malveillant. Quand Chromium tente d’accéder à nouveau à cet objet pour afficher la page — ce qu’il fait naturellement dans le cadre du rendu — il exécute le code de l’attaquant sans en avoir conscience.

C’est le mécanisme use-after-free appliqué au moteur de rendu CSS : une mécanique simple dans son principe, mais redoutablement efficace dans son exploitation. Les chercheurs en sécurité comparent parfois ce type de faille aux menaces posées par les mises à jour système défectueuses — dans les deux cas, c’est le socle sur lequel tout repose qui est compromis.

Conséquences d'une exploitation réussie - vol de données mots de passe sessions

Ce que l’attaquant peut faire une fois le navigateur compromis

Une exploitation réussie de cette faille ouvre la porte à un éventail de conséquences particulièrement graves. Le niveau de gravité dépend de la sophistication de l’attaquant et de son objectif, mais les scénarios envisageables donnent froid dans le dos.

Dans le cas le plus extrême, l’attaquant peut réaliser une évasion du bac à sable du navigateur et obtenir un contrôle total de l’ordinateur de la victime. Cela inclut l’installation de logiciels indésirables, de spywares ou même de ransomwares qui chiffreront vos fichiers contre rançon. Plus couramment, l’exploitation permet :

  • Le vol de cookies et de sessions actives : sans connaître vos identifiants, l’attaquant peut se connecter à votre Gmail, votre compte bancaire ou vos réseaux sociaux en utilisant vos sessions déjà ouvertes.
  • L’accès à votre historique de navigation complet : chaque site visité, chaque recherche effectuée devient accessible.
  • La récupération de vos mots de passe : si votre navigateur stocke des identifiants (ce que font Chrome, Edge et la plupart des navigateurs modernes), ils peuvent être extraits.

Ce qui rend cette faille particulièrement insidieuse, c’est son caractère totalement silencieux. La victime ne voit rien, ne ressent rien d’anormal. La page s’affiche normalement. L’attaque se joue entièrement dans les coulisses, au niveau de la mémoire du navigateur.

Mise à jour du navigateur - solution pour se protéger de la faille Chromium

Comment se protéger : la solution est à portée de clic

Bonne nouvelle : la protection contre cette faille est aussi simple que la menace est sérieuse. Il suffit de mettre à jour votre navigateur. Les équipes de Google (pour Chrome), Microsoft (pour Edge) et les autres éditeurs concernés ont publié des correctifs qui corrigent cette vulnérabilité.

Pour vérifier si votre navigateur est à jour et le mettre à jour si nécessaire :

  • Chrome : Menu (⋮) → Aide → À propos de Google Chrome → La mise à jour s’effectue automatiquement si disponible.
  • Edge : Menu (…) → Aide et commentaires → À propos de Microsoft Edge → Même procédure.
  • Brave : Menu → Aide → À propos de Brave → Vérification automatique.

La meilleure pratique reste d’activer les mises à jour automatiques sur votre navigateur. Ainsi, dès que Google ou Microsoft déploie un correctif de sécurité, votre navigateur se met à jour sans que vous ayez à intervenir. Dans un contexte où les failles zero-day (exploitées avant même qu’un patch soit disponible) se multiplient, cette automatisation peut littéralement vous sauver.

Il est également conseillé de redémarrer votre navigateur régulièrement. De nombreuses mises à jour sont téléchargées en arrière-plan mais ne s’appliquent qu’au prochain redémarrage. Un navigateur ouvert en permanence depuis des semaines peut donc être vulnérable même si la mise à jour a été téléchargée.

Voir tous les articles TECH

Articles similaires

Moonbase Alpha, Tesla Semi, Starlink : la grande stratégie d’Elon Musk en 2026
23 février 2026Moonbase Alpha, Tesla Semi, Starlink : la grande stratégie d’Elon Musk en 2026
Tesla Piphone : le smartphone d’Elon Musk avec Starlink gratuit à vie peut-il détrôner Apple ?
17 février 2026Tesla Piphone : le smartphone d’Elon Musk avec Starlink gratuit à vie peut-il détrôner Apple ?
NVIDIA recommande de désinstaller la mise à jour Windows 11 : Linux, futur du gaming PC ?
14 février 2026NVIDIA recommande de désinstaller la mise à jour Windows 11 : Linux, futur du gaming PC ?
TOP 5 Meilleurs Écrans Gaming 2026 : Notre Sélection Ultime OLED et Budget
10 février 2026TOP 5 Meilleurs Écrans Gaming 2026 : Notre Sélection Ultime OLED et Budget