Google publie l’exploit d’une faille Chromium non corrigée depuis 2 ans et demi
Ouais. Vous avez bien lu. Google a balancé en public le code d’exploitation d’une vulnérabilité massive dans Chromium. La honte. Sauf que… le patch ? Il n’existe toujours pas après 29 mois. Deux ans et demi, quoi. Le temps de construire deux ou trois PC pour un gamer moyen, et hop, votre navigateur est toujours une passoire.
Pourquoi Google a fait ça ? Spoiler : ils n’ont pas le choix. La chercheuse indépendante Lyra Rebane leur a gentiment signalé la faille en privé. Rien. Silence radio. Alors elle a publié l’exploit sur le bug tracker de Chromium. Histoire de leur mettre le nez dedans. Une honte. Une vraie. Et Windows dans tout ça ? On en reparle plus tard. Parce que ça, c’est une autre histoire de merde.
Moi, Marc, je mets les mains dans le cambouis depuis 15 ans. Cette faille, je l’ai déjà vue en atelier. Pas une fois. Trois fois. Quatre. Toujours le même refrain : « Marc, mon navigateur il fait n’importe quoi, viens voir ». Spoiler : c’était la faute à ce putain de bug Chromium. Et Google qui traîne des pieds. Pourquoi ? Parce que corriger ça, ça doit être plus compliqué que de brancher un SSD. Ou alors ils s’en foutent royalement. Difficile à croire, hein ?
Comment une faille aussi grave a pu survivre aussi longtemps ?
29 mois. 29 putains de mois. Pour une faille critique, pas une vulgate au coin d’un proxy vieillissant. Non. Une vraie faille qui permet à un attaquant de prendre le contrôle à distance de votre machine. Et pendant tout ce temps, Google n’a RIEN fait ? Putain. Ils ont même refusé de donner un CVE correct à Lyra quand elle a signalé le bug. Parce que « privatisez votre rapport ». Génial. Comme si on était en 1995 et que les failles se gardaient sous le coude pour « protéger les utilisateurs ».
Le pire ? Cette faille, elle est zero-day depuis le début. Ce qui veut dire que des attaquants pouvaient l’exploiter depuis des années sans que personne ne s’en rende compte. À part peut-être quelques malwares bien placés. Et oui, des milliers d’utilisateurs de Chromium, Edge et tous les navigateurs basés là-dessus (Brave, Opera, etc.) étaient des cibles potentielles. Mine de rien, ça fait des millions de machines.
Je me souviens d’un client l’autre semaine. Un vieux Toshiba avec Windows 10 qui rame comme un tracteur dans la merde. Il me dit : « Marc, depuis hier mon PC il s’éteint tout seul ». Je regarde. Logs ? Rien. Mais son navigateur Chrome ? Plein d’onglets qui s’ouvrent tout seuls. J’ai rigolé. « T’as cliqué sur un lien bizarre ? ». « Non, c’est arrivé comme ça ». Coïncidence ? Pas sûr. Cette faille a peut-être été exploitée bien plus souvent qu’on ne le pense.
Alors oui, Google a fini par publier l’exploit. Mais sans patch. Parce que « la correction n’est pas prioritaire ». Traduction : on s’en occupe quand on veut. Entre nous, ça pue l’amateurisme. Ou la flemme. Choisissez.
Chromium, Edge, Brave… Tous concernés par cette merde
Le plus drôle (si on peut dire) dans l’histoire, c’est que tous les navigateurs basés sur Chromium sont touchés. Brave ? Vulnérable. Edge ? Vulnérable. Opera ? Vulnérable. Samsung Internet ? Vulnérable. Même le navigateur de votre frigo connecté (oui, ça existe) pourrait l’être si les gars de chez Samsung ont oublié de mettre à jour.
Pourquoi ? Parce que Chromium, c’est comme Windows : tout le monde utilise les mêmes briques de base. Quand y’a un bug, il se propage comme une trainée de poudre. Sauf que Microsoft au moins, ils sortent des correctifs le mardi. Google ? Ils attendent que la pression médiatique soit trop forte. Confortable, hein ?
Prenez un peu de recul. Vous utilisez Chrome ? Changez. Tout de suite. Firefox, c’est solide. Brave, c’est bien aussi. Même Edge avec ses conneries de tracking intégré, mais bon, au moins Microsoft patche ses merdes un minimum. Quant à Chromium… Fuyez. Ou alors assumez le risque. Parce que cette faille, elle est là. Et elle attend son heure.
Une anecdote ? L’autre jour, j’ai désinstallé Chrome sur une vieille machine sous Windows 7 (oui, je sais, c’est interdit par les lois de la nature). Résultat ? 20 minutes après, l’utilisateur me rappelle en panique : « Marc, je peux plus aller sur mon site bancaire ! ». Pourquoi ? Parce que son site bancaire était en Silverlight. Et Silverlight, c’est comme le cholestérol : ça bouche les artères du web. Moralité : changer de navigateur, c’est bien. Mais vérifier que le site qui vous sert fonctionne encore, c’est mieux.
Pourquoi Google a-t-il publié l’exploit ? La version officielle vs la réalité
Officiellement, Google dit qu’ils ont publié l’exploit pour « alerter la communauté ». Ouais, ouais. Comme si tout le monde avait envie de se prendre une claque dans la gueule en open source. Non. La réalité, c’est qu’ils ont été forcés. Lyra Rebane a refusé de se taire. Elle a publié son exploit sur le bug tracker en disant : « Voilà, la preuve que ça existe, maintenant bougez-vous le cul ». Et Google n’avait plus le choix.
C’est comme ça que marche le monde maintenant : si tu ne bouges pas, on te fait bouger. C’est la loi du marché. Ou de la honte. Peu importe. Le résultat, c’est que des milliers de sysadmins comme moi vont devoir gérer la merde que Google a laissée traîner. Et croyez-moi, ça va être fun.
Je me souviens d’une entreprise où j’étais intervenu il y a deux ans. Ils utilisaient Chrome sur tous leurs postes. Un matin, la moitié des PC étaient infectés par un ransomware. Pourquoi ? Parce qu’un employé avait cliqué sur un lien douteux. Mais le vrai responsable ? Cette putain de faille Chromium qui leur avait permis d’infecter la machine. Depuis ce jour, j’ai interdit Chrome dans mes contrats. Même avec un antivirus à jour, c’est un risque qu’on n’a pas besoin de prendre.
Alors oui, Google a publié l’exploit. Mais est-ce que ça va changer quelque chose ? Probablement pas. Parce qu’il y a des utilisateurs qui ne mettront jamais leur navigateur à jour. Et des entreprises qui rognent sur les coûts de sécurité. Et des gouvernements qui ferment les yeux. La faille est toujours là. Elle attend. Prête à frapper. Et nous, pauvres techniciens, on va devoir nettoyer les dégâts.
Que faire si vous utilisez toujours Chromium ?
Vous voulez mon avis ? Arrêtez Chrome. Maintenant. Même si vous aimez le look, même si vous êtes accro à vos extensions, même si votre grand-mère vous a dit que « Microsoft c’est pire ». Parce que cette faille, elle est réelle. Et elle va pas disparaître par magie.
Alors, que faire ?
- Passez à Firefox. Oui, c’est moins rapide. Oui, certaines extensions sont en retard. Mais au moins, Mozilla respecte un minimum ses utilisateurs. Et surtout, ils patchent leurs merdes en moins de 24h quand c’est critique.
- Si vous devez absolument utiliser Chrome, activez les flags expérimentaux. Pas une solution miracle, mais au moins vous limitez les risques. Dans chrome://flags, cherchez « Strict site isolation » et activez-le. Ça isole chaque onglet, un peu comme les containers de Docker. Pas parfait, mais mieux que rien.
- Désactivez JavaScript pour les sites sensibles. Oui, ça va casser 90% du web moderne. Mais pour votre banque ou vos mails, ça peut sauver votre peau. Utilisez des outils comme uBlock Origin pour bloquer le JS par défaut sur les sites que vous fréquentez.
- Surveillez les mises à jour. Chromium ? Oubliez. Chrome ? Activez les mises à jour automatiques. Et vérifiez manuellement si possible. Parce que parfois, les MAJ se plantent. Comme cette fameuse mise à jour Windows qui a cassé des milliers d’imprimantes la semaine dernière.
- Utilisez un compte standard, pas admin. Un classique, mais qui sauve des vies. Si un malware exploite cette faille, il aura moins de droits pour tout niquer sur votre machine.
Et pour les entreprises ? Faites une migration. Oui, ça coûte du temps et de l’argent. Mais le jour où un attaquant exploite cette faille sur un de vos postes, vous allez regretter de ne pas avoir écouté Marc. Parce que moi, je vous l’ai dit. Et je connais mon métier.
Dernier conseil : si vous êtes sous Windows, désactivez les mises à jour automatiques si vous êtes sur une version récente. La dernière MAJ a encore tout cassé pour certains utilisateurs. Des lecteurs m’ont appelé en pleurs parce que leur Outlook ne voulait plus se lancer. La solution ? Une réinstallation complète. Génial, non ?
Google, la responsabilité, et cette putain d’hypocrisie
Google, c’est comme ces potes qui te disent « Je t’appelle demain » et qui te ghostent pendant trois semaines. Ils promettent monts et merveilles. « On va rendre le web plus sûr », « La confidentialité, c’est notre priorité ». Bla bla bla.
En réalité, ils laissent traîner des failles critiques pendant deux ans et demi. Ils ne patchent pas. Ils minimisent. Ils attendent que la pression devienne trop forte. Et quand la honte est trop grande, ils publient l’exploit en open source pour se donner bonne conscience.
C’est ça, la réalité. Pas de magie. Pas de super-héros. Juste une entreprise qui met la priorité sur le profit plutôt que sur la sécurité de ses utilisateurs. Et qui se donne bonne conscience en externalisant la résolution du problème à la communauté.
Moi, Marc, je n’ai plus aucun respect pour cette politique. J’ai vu trop de machines infectées. Trop de données volées. Trop de temps perdu à nettoyer des merdes que Google aurait pu éviter. On est en 2024, pas en 2004. Les navigateurs devraient être solides. Les failles devraient être corrigées en quelques jours, pas en presque trois ans.
Pourtant, je ne suis pas optimiste. Parce que Google n’est pas seul dans ce jeu. Microsoft fait la même chose avec Edge. Apple avec Safari. Tout le monde a ses merdes à cacher. Le problème, c’est que l’utilisateur final trinque. Toujours. Comme d’habitude.
Alors oui, je râle. Je râle parce que je suis en première ligne. Parce que je dois expliquer à des clients que leur machine est infectée à cause d’une faille que Google a laissée traîner comme un vieux chewing-gum sous une table. Parce que je dois nettoyer, réinstaller, restaurer des sauvegardes. Tout ça parce qu’une entreprise a préféré attendre plutôt que d’agir.
La solution ? Boycotter Chromium. Ou au moins, exiger des alternatives. Firefox est là. Brave est là. Même le nouveau Edge (avec Chromium) a ses propres problèmes. Mais au moins, ils tentent de faire mieux. Google, lui, se contente de nous prendre pour des pigeons.
Et Windows dans tout ça ? La cerise sur le gâteau…
Ah, Windows. Mon autre sempiternel sujet de rage. La semaine dernière, Microsoft a balancé une MAJ qui a cassé des milliers d’imprimantes dans le monde. Oui, vous avez bien lu. Pas un bug mineur. Non. Des imprimantes qui ne fonctionnent plus. Point.
Pourquoi ? Parce que Microsoft a décidé de changer un driver. Sans prévenir. Sans tester. Juste comme ça. Résultat ? Des entreprises paralysées. Des techniciens comme moi qui doivent se déplacer en urgence pour réinstaller des drivers à la main. Génial.
Et comme si ça ne suffisait pas, Windows continue de nous pondre des MAJ qui réinitialisent nos paramètres. « Oh, Marc, mon fond d’écran a changé ! ». Oui, parce que Microsoft a décidé que mon fond d’écran à moi, c’était leur logo. Ouais. La classe.
Alors oui, cette faille Chromium, c’est grave. Mais au moins, avec Windows, on a l’habitude du désastre. Chaque MAJ est une lottery. Soit ça marche, soit ça pète un câble. Et Google, dans tout ça ? Ils suivent le même chemin. La preuve : une faille critique non corrigée pendant 29 mois. La preuve : des navigateurs qui plantent au moindre problème. La preuve que personne ne vérifie rien.
Moralité : si vous voulez un système stable, évitez les produits Microsoft ET Google. Ou alors, assumez les risques. Parce que clairement, eux, ils ne le feront pas.
Bon courage à vous. Et méfiez-vous de ce que vous lancez dans votre navigateur. Parce que cette fois, la vulnérabilité est réelle. Et elle ne va pas disparaître demain.
Pour aller plus loin : la source et ce qu’il faut retenir
Si vous voulez creuser, la source originale de l’article de Korben est disponible ici. Spoiler : l’article est aussi enragé que le mien. Parce que quand même, c’est une honte.
En résumé, retenez ça :
- Une faille Chromium critique existe depuis 2 ans et demi. Google ne l’a pas corrigée. Ils ont préféré publier l’exploit en open source pour forcer la main.
- Tous les navigateurs basés sur Chromium sont concernés. Brave, Edge, Opera… La merde est partout.
- La solution ? Fuyez Chrome. Passez à Firefox. Ou assumez le risque. Mais sachez que vous jouez avec le feu.
- Windows n’est pas en reste. Les MAJ cassent tout. Les imprimantes qui ne marchent plus. Les fonds d’écran qui disparaissent. La routine.
- La sécurité, c’est comme le ménage : si vous ne le faites pas, quelqu’un d’autre va le faire à votre place. Mais dans ce cas, c’est souvent un attaquant.
Et voilà. Vous savez tout. Ou presque. Parce que dans le monde du tech, il y a toujours une autre merde qui nous attend au tournant. Alors, on se prépare ?
Source : article original
