Le 12 mars 2026, Google a publié un correctif en urgence pour Chrome pour corriger deux failles critiques, baptisées CVE-2026-3909 et CVE-2026-3910, activement exploitées par des pirates. En clair : des attaquants s'en servent déjà pour compromettre des ordinateurs, et ce simplement en vous faisant visiter une page web piégée.
Le CERT-FR, l'organisme français de cybersécurité, a relayé l'alerte dès le 13 mars. Et quand Google publie un patch en trois jours seulement après la découverte d'une faille, c'est que la situation est vraiment sérieuse.
Chrome, mais pas seulement
Google Chrome est le navigateur le plus utilisé au monde. Mais ce qui rend cette alerte encore plus importante, c'est que Chrome partage son moteur technique (Chromium) avec la quasi-totalité des autres navigateurs populaires : Microsoft Edge, Brave, Vivaldi, Opera… Tous sont concernés par ces failles.
Si vous n'utilisez pas Firefox ou Safari, vous êtes très probablement concerné. Et je doute que beaucoup d'entre vous sachent quel "moteur" fait tourner leur navigateur préféré.
Deux failles, deux portes d'entrée
Les deux vulnérabilités touchent des composants critiques du navigateur. Comprendre leur fonctionnement aide à saisir pourquoi c'est si grave.
CVE-2026-3909 : écriture hors limites dans Skia
Skia, c'est la bibliothèque graphique qui dessine tout ce que vous voyez à l'écran : texte, images, animations. La faille permet à un attaquant de forcer Chrome à écrire des données là où il ne devrait pas, dans la mémoire vive de votre ordinateur. Résultat : il peut écraser des parties sensibles pour y injecter son propre code malveillant.
CVE-2026-3910 : sortie de la sandbox via V8
V8, c'est le moteur qui exécute le code JavaScript des sites web modernes. Chrome isole normalement chaque onglet dans une "sandbox", une cage virtuelle qui l'empêche d'accéder au reste de votre système. Cette faille permet de s'échapper de cette protection. Une fois sorti, l'attaquant peut accéder à vos fichiers et données personnelles.
Google reste volontairement discret sur les détails techniques. On sait simplement que ces attaques sont déjà en cours, sur Windows, Mac et Linux. Le risque est donc réel et actif, de plus que la gravité est évaluée à 8,8/10 sur l'échelle CVSS (échelle de sévérité des vulnérabilités).
Bref.
Mettez à jour votre navigateur maintenant.
Pour Chrome : cliquez sur les trois petits points en haut à droite, puis "Aide" > "À propos de Google Chrome". Le navigateur vérifiera automatiquement et vous proposera la mise à jour. Vous devez être en version 146.0.7680.75 minimum (ou 146.0.7680.76 sur certaines versions Windows/Mac).
Pour Edge, Brave, Opera, Vivaldi : même procédure via les paramètres. Vérifiez que vous avez bien la dernière version disponible.
Redémarrez votre navigateur après la mise à jour. Tant que vous ne l'avez pas relancé, le correctif n'est pas actif.