Début janvier 2026 Google a corrigé une vulnérabilité qui, selon les chercheurs en sécurité, pourrait permettre des extensions malveillantes pour augmenter leurs privilèges et accéder aux fichiers locaux et aux appareils utilisateurs. Le problème, enregistré comme CVE-2026-0628 et évalué avec un score CVSS élevé (8.8), il a affecté la façon dont Chrome a géré le composant WebView du nouveau panneau intégré IA, connu sous le nom Gemini Live. La mise à jour avec la correction a été publiée dans les versions 143.0.749.992 / .193 pour Windows et Mac et dans 143.0.749.992 pour Linux; l'avis est disponible sur le blog officiel Chrome mise à jour: Rejets Chrome - Mise à jour du canal stable (janvier 2026).
L'enregistrement public de la vulnérabilité dans la base de données NIST explique que la cause de l'échec était Insuffisance de la mise en œuvre des politiques sur le label WebView, ce qui a facilité une extension manipulée pour injecter du HTML ou des scripts dans une page avec des privilèges. Vous pouvez vérifier les spécifications à la base de données nationale de vulnérabilité ici: CVE-2026-0628 en NVD.
La détection était le travail de Gal Weizman, chercheur à l'unité 42 de Palo Alto Networks, qui a rapporté le jugement en novembre 2025. Dans son analyse, Weizman montre comment une extension avec des permissions apparemment basiques - par exemple, activé par l'API déclaration de la demandeNet, utilisé par de nombreux bloqueurs d'ad - pourrait influencer le panneau de Gemini et exécuter le code dans un contexte qui serait normalement plus fiable. Le rapport de l'unité 42 détaille la technique et les risques associés: Gemini Live dans le détournement de Chrome.
Qu'est-ce que cela signifiait dans la pratique? En exploitant l'écart, une extension manipulée pourrait forcer le navigateur à charger l'application Gemini du domaine Google avec le panneau ouvert et, de là, accéder aux ressources privilégiées. Parmi les actions potentiellement réalisables par un attaquant se trouvaient l'activation de la caméra et du microphone sans approbation explicite, la capture d'écrans de page ouverte et la lecture de fichiers locaux. Autrement dit, les capacités conçues pour permettre à l'assistant d'accomplir des tâches complexes pourraient devenir des moyens d'abus.
Au-delà de l'incident technique, l'affaire pose un dilemme plus large : en intégrant directement des agents d'intelligence artificielle dans le navigateur pour offrir des résumés en temps réel, la traduction ou l'exécution d'actions automatisées, les développeurs donnent à ces fonctions un accès plus profond à l'environnement de navigation. Un tel accès nécessaire à l'utilitaire peut devenir une vulnérabilité lorsqu'un attaquant obtient l'utilisateur d'exécuter ou de charger du contenu malveillant contenant des instructions cachées pour l'agent IA.
Un risque supplémentaire identifié par les chercheurs est la possibilité de Injection persistante de "propps". En d'autres termes, un site Web malveillant peut non seulement donner un ordre opportun à l'agent, mais aussi essayer de garder des instructions dans sa mémoire à long terme - une technique que l'unité 42 explore dans une analyse de la façon dont des attaques indirectes d'injection rapide peuvent empoisonner la mémoire d'un modèle -: L'injection rapide indirecte empoisonne la mémoire à long terme de l'IA. Si un agent conserve ces instructions, l'exposition pourrait être répétée lors de sessions ultérieures.
Les risques qui réapparaissent avec l'ajout d'un panneau IA ne sont pas en substance nouveaux: les problèmes classiques de sécurité du navigateur - XSS, grimpage de privilèges et canaux latéraux - réapparaissent quand un nouveau composant de haut privilège est monté dans le même processus ou contexte que le navigateur. Weizman et son équipe avertissent que placer les fonctionnalités d'IA dans un contexte privilégié peut introduire des défaillances logiques et des implémentations faibles dont un site Web ou une extension à autorisation limitée pourrait profiter.
Pour les utilisateurs, la leçon est claire: garder le navigateur mis à jour est la première et la plus efficace défense. Google a déjà publié le patch correspondant et les versions stables comprennent la correction, donc l'examen et l'application des mises à jour Chrome devrait être une priorité. En outre, il convient d'examiner les extensions installées et de les limiter à celles provenant de sources fiables avec des permis conformément à leur fonction.
Extensions développeurs et gestionnaires de navigateur ont également travailler avant eux. Il est nécessaire de réévaluer les modèles de privilèges, de resserrer les politiques d'isolement entre les composants et de revoir les API qui permettent aux extensions d'intercepter et de modifier le trafic web - la même capacité qui rend utile à de nombreux bloqueurs d'annonces peut être utilisée malveillantement s'il n'y a pas de contrôles appropriés -. Google a publié des informations sur l'intégration de Gemini dans Chrome quand il a présenté ces fonctions; pour le contexte et les détails sur la façon dont l'IV a été intégré dans le navigateur, voir: Nouvelles fonctionnalités IA pour Chrome - Google Blog et la page d'aide sur le panneau Gemini Live: Support Chrome : Gemini Live.
Cet incident doit être interprété comme un rappel que la commodité et la puissance de l'IA intégrée dans les applications quotidiennes est accompagnée d'une surface d'attaque prolongée. Les capacités qui permettent à l'assistant d'effectuer des chaînes d'action complexes sont précisément celles qui, dans les mauvaises mains, permettent d'effectuer l'exfiltration de données ou l'exécution de code. La sécurité doit évoluer au rythme des fonctionnalités : tant dans l'architecture du navigateur que dans l'évaluation des risques impliquant des composants avec des privilèges.
Si vous voulez approfondir comment les extensions fonctionnent et quelles permissions existent, et connaître les meilleures pratiques pour leur développement sûr, la documentation pour les développeurs Chrome offre des guides et des recommandations: Sécurité pour les extensions dans Chrome. En bref, la combinaison de mises à jour en temps opportun, de prudence lors de l'installation d'extensions et d'une conception de sécurité consciente par les fournisseurs est ce qui réduira la probabilité que des problèmes comme CVE-2026-0628 deviennent des incidents à grande échelle.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...
PinTheft l'explosion publique qui pourrait vous donner racine sur Arch Linux
Une nouvelle explosion publique a fait ressortir la fragilité du modèle de privilèges Linux : l'équipe de sécurité V12 a qualifié l'échec de Vol d'épingles et publié un test de ...