Le chercheur en sécurité Gal Weizman, de l’équipe Unit 42 (l’équipe de recherche de Palo Alto Networks), a découvert le problème et l’a signalé en privé à Google. Le bug est répertorié sous le numéro CVE-2026-0628 et a été classé comme présentant un « risque élevé ». Selon la description officielle, il s’agit d’une « application insuffisante des politiques dans la balise WebView de Chrome ». Concrètement, cela signifie qu’un attaquant capable de convaincre un utilisateur d’installer une extension malveillante (dans les versions antérieures à 143.0.7499.192) peut injecter des scripts ou du code HTML dans une page privilégiée via une extension Chrome spécialement préparée. Les chercheurs ont découvert qu’une extension aux droits apparemment limités (via l’API declarativeNetRequests) pouvait néanmoins se voir attribuer des capacités supplémentaires. Cela a permis d’injecter du code JavaScript dans le nouveau panneau Gemini au sein du navigateur.
Que peut faire un attaquant ?
En soi, cela semble être un détail technique, mais dans la pratique, cela ouvre la voie à une chaîne d’attaques plus large. Par exemple, lorsqu’un utilisateur installe une extension d’apparence inoffensive, celle-ci peut être détournée pour prendre le contrôle de l’assistant Gemini. Comme Gemini est conçu pour effectuer des actions au nom de l’utilisateur, un assistant IA piraté peut soudainement accéder à des ressources système auxquelles une extension ordinaire n’a normalement pas accès. On peut penser à l’accès à la webcam/au microphone et aux fichiers et dossiers locaux, à la capture de captures d’écran ou à l’utilisation abusive du panneau Gemini à des fins de phishing.
Selon les chercheurs, c’est précisément là que réside le danger : quiconque prend le contrôle de l’interface Gemini obtient indirectement un accès privilégié à des fonctions qui dépassent la portée normale des extensions.
Mettre à jour Chrome pour corriger le problème
Google a été informé du problème en octobre dernier et a élaboré un correctif. La correction a été intégrée à la version 143.0.7499.192/.193 pour Windows et macOS (et 143.0.7499.192 pour Linux). Si vous n’avez pas mis à jour Chrome manuellement ou automatiquement depuis lors, vous courez peut-être encore un risque. Google a par ailleurs corrigé d’autres failles de sécurité dans des mises à jour ultérieures, notamment des vulnérabilités de type « out-of-bounds ».
Le message est clair : vérifiez que votre navigateur est à jour (via le menu, Aide, À propos de Google Chrome) et soyez particulièrement vigilant lors de l’installation d’extensions. À une époque où les fonctionnalités d’IA sont de plus en plus intégrées aux navigateurs, un simple module complémentaire en apparence inoffensif peut soudainement causer beaucoup de dégâts.
