En ce début d'année 2026, les deux navigateurs les plus utilisés au monde se retrouvent au cœur d'alertes de sécurité majeures. Google Chrome a dû corriger en urgence deux failles critiques exploitées activement par des hackers, tandis que Firefox a été soumis à un audit inédit par une intelligence artificielle — avec des résultats qui ont stupéfié l'équipe de Mozilla. Tour d'horizon de ce qui se passe dans les coulisses de votre navigateur.
01 —Chrome et les webapps : quand Gemini devient une porte dérobée
Janvier 2026 a ouvert l'année avec une alerte immédiate pour les trois milliards d'utilisateurs de Google Chrome. La faille référencée CVE-2026-0628, découverte par le chercheur en sécurité Gal Weizman de Palo Alto Networks, ciblait une composante discrète mais omniprésente du navigateur : le composant WebView.
CVE-2026-0628 HAUTE SÉVÉRITÉ CVSS 8.8
WebView est le moteur de rendu qui permet aux applications d'afficher du contenu web directement dans leur interface, sans ouvrir une fenêtre de navigateur traditionnelle. Des milliers d'applications Android en dépendent. Or, la vulnérabilité provenait d'une application insuffisante des règles de sécurité autour de cette brique logicielle.
Google Chrome — navigateur le plus utilisé au monde
La subtilité de cette attaque réside dans son vecteur : une extension Chrome malveillante dotée de permissions basiques pouvait exploiter cette faille pour s'introduire dans le nouveau panneau latéral Gemini Live — l'assistant IA intégré de Google. Une fois à l'intérieur, l'extension héritait des capacités étendues de Gemini : accès aux fichiers locaux, capture d'écran, contrôle de la caméra et du microphone.
Via une simple extension apparemment anodine, un attaquant pouvait injecter du code JavaScript dans le panneau Gemini et accéder à vos fichiers, activer votre webcam ou capturer votre écran — à votre insu.
Le correctif a été intégré dès le 6 janvier 2026 dans la version 143.0.7499.192/193 pour Windows et macOS. Mais le risque structurel demeure : les navigateurs devenant de véritables plateformes agents intégrant de l'IA, la frontière entre le navigateur et le système d'exploitation s'amenuise — et avec elle, les lignes d'isolation de sécurité établies de longue date.
02 —Zero-day dans le CSS : pirater Chrome avec une simple page web
À peine un mois plus tard, le 13 février 2026, Google publiait un second bulletin d'urgence. La faille CVE-2026-2441, découverte par le chercheur Shaheen Fazim, était déjà exploitée dans la nature au moment de son annonce.
CVE-2026-2441 ZERO-DAY CVSS 8.8
Il s'agit d'un bug de type « use-after-free » dans le composant CSSFontFeatureValuesMap, chargé de la gestion avancée de la typographie web. En termes simples : le moteur CSS libère un espace mémoire avant d'avoir terminé de l'utiliser, créant un vide exploitable par un attaquant.
« En incitant un utilisateur à visiter une page HTML spécialement conçue, un pirate pouvait exécuter du code arbitraire dans le navigateur — sans que la victime ait à télécharger quoi que ce soit ni à cliquer sur un lien suspect. »
Il s'agit de la première faille zero-day de Chrome en 2026. En 2025, Google en avait déjà corrigé huit du même type. Le CERT-FR a relayé l'alerte via l'avis CERTFR-2026-AVI-0172. Google a déployé le correctif dans les versions 145.0.7632.75/76 pour Windows/macOS et 144.0.7559.75 pour Linux.
03 —Firefox ausculté par l'IA : 22 failles en deux semaines, dont 14 critiques
Si Chrome était sur la défensive, Mozilla a choisi l'offensive — en faisant appel à une intelligence artificielle pour scanner le code de Firefox. Le résultat de cette collaboration entre Anthropic et Mozilla a été publié début mars 2026 et a immédiatement fait l'effet d'une bombe dans la communauté cybersécurité.
Le modèle Claude Opus 4.6 d'Anthropic a analysé près de 6 000 fichiers C++ composant le code source du navigateur. En à peine vingt minutes après le début de l'analyse, l'IA signalait déjà sa première vulnérabilité : un bug de type Use After Free dans le moteur JavaScript.
Mozilla Firefox — audité par l'IA Claude Opus 4.6
« Claude Opus 4.6 a découvert en deux semaines autant de failles de haute gravité que l'ensemble de la communauté mondiale de recherche en sécurité n'en signale généralement en deux mois entiers. »
Au total, l'IA a soumis 112 rapports distincts à l'équipe de Mozilla, dont 22 vulnérabilités confirmées et 14 classées de haute sévérité. Pour mettre les choses en perspective : Firefox avait corrigé 73 bugs de gravité élevée ou critique sur toute l'année 2024. L'IA en a trouvé 14 en quinze jours.
Ce qui a particulièrement impressionné les ingénieurs de Mozilla, c'est la qualité des rapports générés par l'IA. Chaque rapport incluait des scénarios de test minimaux permettant de reproduire et vérifier chaque bug immédiatement. Les développeurs de Mozilla, bluffés, ont rapidement demandé à Anthropic d'envoyer directement l'ensemble des vulnérabilités sans validation humaine préalable.
L'ensemble des failles découvertes a été intégré dans les mises à jour de Firefox 148, disponible depuis fin février 2026. Si vous avez mis à jour vers cette version, vous êtes protégé.
L'IA a également tenté de transformer ces vulnérabilités en exploits. Résultat : malgré plusieurs centaines de tentatives et environ 4 000 dollars de crédits API dépensés, seuls deux exploits fonctionnels ont pu être produits — et uniquement dans un environnement de test privé de ses protections. L'avantage reste clairement du côté des défenseurs, pour l'heure.
04 —L'IA, nouveau gardien de la sécurité numérique ?
Ces événements marquent un tournant dans la façon dont la cybersécurité va évoluer. L'intelligence artificielle, souvent présentée comme un risque potentiel, se révèle ici être un outil d'une redoutable efficacité pour la défense. Mozilla a d'ailleurs annoncé avoir intégré l'analyse assistée par IA dans ses processus de sécurité internes de façon permanente.
Pour autant, ce changement de paradigme crée aussi de nouvelles tensions. La frontière entre détection de failles et exploitation de celles-ci peut se déplacer vite — et les acteurs malveillants disposent des mêmes outils. La course entre attaquants et défenseurs entre dans une nouvelle ère d'automatisation.
Du côté de Chrome, les incidents WebView et CSS mettent en lumière un problème plus profond : les navigateurs sont devenus des systèmes d'exploitation à part entière. Intégrer des assistants IA directement dans le navigateur, c'est agrandir considérablement la surface d'attaque — avec des conséquences potentiellement bien plus graves qu'une simple page web malveillante.
🔒 Mettez à jour votre navigateur — maintenant.
Si ces révélations vous semblent lointaines et abstraites, elles ne le sont pas. Les failles décrites dans cet article ont été exploitées dans des attaques réelles. La seule mesure de protection recommandée par le CERT-FR, CISA et l'ANSSI est de maintenir votre navigateur à jour.
N'attendez pas la mise à jour automatique. Effectuez-la manuellement dès aujourd'hui, puis redémarrez le navigateur pour activer le correctif.
Chrome / Edge / Brave : Menu (⋮) → Aide → À propos de Google Chrome. Version 145.0.7632.116 ou supérieure.
Firefox : Menu (☰) → Aide → À propos de Firefox. Version 148 ou supérieure.
Redémarrez votre navigateur après toute mise à jour — indispensable pour activer les correctifs de sécurité.
Auditez vos extensions : supprimez celles inutilisées. Méfiez-vous des permissions larges ou des sources inconnues.
Dans un monde où une simple page web peut suffire à compromettre votre navigateur, chaque jour sans mise à jour est un risque inutile.
Mettre à jour Chrome Mettre à jour FirefoxSources & références
- ↗ IT-Connect — CVE-2026-2441, le premier zero-day Chrome de 2026
- ↗ The Hacker News — CVE-2026-0628 : Gemini panel et extensions malveillantes
- ↗ Malwarebytes — Chrome, Gemini et l'accès caméra/micro
- ↗ Korben — Claude Opus 4.6 : 22 failles Firefox en deux semaines
- ↗ Generation-NT — L'IA d'Anthropic débusque 22 failles critiques dans Firefox
- ↗ CERT-FR — Avis CERTFR-2026-AVI-0172 (Chrome CVE-2026-2441)
En ce début d'année 2026, les deux navigateurs les plus utilisés au monde se retrouvent au cœur d'alertes de sécurité majeures. Google Chrome a dû corriger en urgence deux failles critiques exploitées activement par des hackers, tandis que Firefox a été soumis à un audit inédit par une intelligence artificielle — avec des résultats qui ont stupéfié l'équipe de Mozilla. Tour d'horizon de ce qui se passe dans les coulisses de votre navigateur.
01 —Chrome et les webapps : quand Gemini devient une porte dérobée
Janvier 2026 a ouvert l'année avec une alerte immédiate pour les trois milliards d'utilisateurs de Google Chrome. La faille référencée CVE-2026-0628, découverte par le chercheur en sécurité Gal Weizman de Palo Alto Networks, ciblait une composante discrète mais omniprésente du navigateur : le composant WebView.
CVE-2026-0628 HAUTE SÉVÉRITÉ CVSS 8.8
WebView est le moteur de rendu qui permet aux applications d'afficher du contenu web directement dans leur interface, sans ouvrir une fenêtre de navigateur traditionnelle. Des milliers d'applications Android en dépendent. Or, la vulnérabilité provenait d'une application insuffisante des règles de sécurité autour de cette brique logicielle.
Google Chrome — navigateur le plus utilisé au monde
La subtilité de cette attaque réside dans son vecteur : une extension Chrome malveillante dotée de permissions basiques pouvait exploiter cette faille pour s'introduire dans le nouveau panneau latéral Gemini Live — l'assistant IA intégré de Google. Une fois à l'intérieur, l'extension héritait des capacités étendues de Gemini : accès aux fichiers locaux, capture d'écran, contrôle de la caméra et du microphone.
Via une simple extension apparemment anodine, un attaquant pouvait injecter du code JavaScript dans le panneau Gemini et accéder à vos fichiers, activer votre webcam ou capturer votre écran — à votre insu.
Le correctif a été intégré dès le 6 janvier 2026 dans la version 143.0.7499.192/193 pour Windows et macOS. Mais le risque structurel demeure : les navigateurs devenant de véritables plateformes agents intégrant de l'IA, la frontière entre le navigateur et le système d'exploitation s'amenuise — et avec elle, les lignes d'isolation de sécurité établies de longue date.
02 —Zero-day dans le CSS : pirater Chrome avec une simple page web
À peine un mois plus tard, le 13 février 2026, Google publiait un second bulletin d'urgence. La faille CVE-2026-2441, découverte par le chercheur Shaheen Fazim, était déjà exploitée dans la nature au moment de son annonce.
CVE-2026-2441 ZERO-DAY CVSS 8.8
Il s'agit d'un bug de type « use-after-free » dans le composant CSSFontFeatureValuesMap, chargé de la gestion avancée de la typographie web. En termes simples : le moteur CSS libère un espace mémoire avant d'avoir terminé de l'utiliser, créant un vide exploitable par un attaquant.
« En incitant un utilisateur à visiter une page HTML spécialement conçue, un pirate pouvait exécuter du code arbitraire dans le navigateur — sans que la victime ait à télécharger quoi que ce soit ni à cliquer sur un lien suspect. »
Il s'agit de la première faille zero-day de Chrome en 2026. En 2025, Google en avait déjà corrigé huit du même type. Le CERT-FR a relayé l'alerte via l'avis CERTFR-2026-AVI-0172. Google a déployé le correctif dans les versions 145.0.7632.75/76 pour Windows/macOS et 144.0.7559.75 pour Linux.
03 —Firefox ausculté par l'IA : 22 failles en deux semaines, dont 14 critiques
Si Chrome était sur la défensive, Mozilla a choisi l'offensive — en faisant appel à une intelligence artificielle pour scanner le code de Firefox. Le résultat de cette collaboration entre Anthropic et Mozilla a été publié début mars 2026 et a immédiatement fait l'effet d'une bombe dans la communauté cybersécurité.
Le modèle Claude Opus 4.6 d'Anthropic a analysé près de 6 000 fichiers C++ composant le code source du navigateur. En à peine vingt minutes après le début de l'analyse, l'IA signalait déjà sa première vulnérabilité : un bug de type Use After Free dans le moteur JavaScript.
Mozilla Firefox — audité par l'IA Claude Opus 4.6
« Claude Opus 4.6 a découvert en deux semaines autant de failles de haute gravité que l'ensemble de la communauté mondiale de recherche en sécurité n'en signale généralement en deux mois entiers. »
Au total, l'IA a soumis 112 rapports distincts à l'équipe de Mozilla, dont 22 vulnérabilités confirmées et 14 classées de haute sévérité. Pour mettre les choses en perspective : Firefox avait corrigé 73 bugs de gravité élevée ou critique sur toute l'année 2024. L'IA en a trouvé 14 en quinze jours.
Ce qui a particulièrement impressionné les ingénieurs de Mozilla, c'est la qualité des rapports générés par l'IA. Chaque rapport incluait des scénarios de test minimaux permettant de reproduire et vérifier chaque bug immédiatement. Les développeurs de Mozilla, bluffés, ont rapidement demandé à Anthropic d'envoyer directement l'ensemble des vulnérabilités sans validation humaine préalable.
L'ensemble des failles découvertes a été intégré dans les mises à jour de Firefox 148, disponible depuis fin février 2026. Si vous avez mis à jour vers cette version, vous êtes protégé.
L'IA a également tenté de transformer ces vulnérabilités en exploits. Résultat : malgré plusieurs centaines de tentatives et environ 4 000 dollars de crédits API dépensés, seuls deux exploits fonctionnels ont pu être produits — et uniquement dans un environnement de test privé de ses protections. L'avantage reste clairement du côté des défenseurs, pour l'heure.
04 —L'IA, nouveau gardien de la sécurité numérique ?
Ces événements marquent un tournant dans la façon dont la cybersécurité va évoluer. L'intelligence artificielle, souvent présentée comme un risque potentiel, se révèle ici être un outil d'une redoutable efficacité pour la défense. Mozilla a d'ailleurs annoncé avoir intégré l'analyse assistée par IA dans ses processus de sécurité internes de façon permanente.
Pour autant, ce changement de paradigme crée aussi de nouvelles tensions. La frontière entre détection de failles et exploitation de celles-ci peut se déplacer vite — et les acteurs malveillants disposent des mêmes outils. La course entre attaquants et défenseurs entre dans une nouvelle ère d'automatisation.
Du côté de Chrome, les incidents WebView et CSS mettent en lumière un problème plus profond : les navigateurs sont devenus des systèmes d'exploitation à part entière. Intégrer des assistants IA directement dans le navigateur, c'est agrandir considérablement la surface d'attaque — avec des conséquences potentiellement bien plus graves qu'une simple page web malveillante.
🔒 Mettez à jour votre navigateur — maintenant.
Si ces révélations vous semblent lointaines et abstraites, elles ne le sont pas. Les failles décrites dans cet article ont été exploitées dans des attaques réelles. La seule mesure de protection recommandée par le CERT-FR, CISA et l'ANSSI est de maintenir votre navigateur à jour.
N'attendez pas la mise à jour automatique. Effectuez-la manuellement dès aujourd'hui, puis redémarrez le navigateur pour activer le correctif.
Chrome / Edge / Brave : Menu (⋮) → Aide → À propos de Google Chrome. Version 145.0.7632.116 ou supérieure.
Firefox : Menu (☰) → Aide → À propos de Firefox. Version 148 ou supérieure.
Redémarrez votre navigateur après toute mise à jour — indispensable pour activer les correctifs de sécurité.
Auditez vos extensions : supprimez celles inutilisées. Méfiez-vous des permissions larges ou des sources inconnues.
Dans un monde où une simple page web peut suffire à compromettre votre navigateur, chaque jour sans mise à jour est un risque inutile.
Mettre à jour Chrome Mettre à jour FirefoxSources & références
- ↗ IT-Connect — CVE-2026-2441, le premier zero-day Chrome de 2026
- ↗ The Hacker News — CVE-2026-0628 : Gemini panel et extensions malveillantes
- ↗ Malwarebytes — Chrome, Gemini et l'accès caméra/micro
- ↗ Korben — Claude Opus 4.6 : 22 failles Firefox en deux semaines
- ↗ Generation-NT — L'IA d'Anthropic débusque 22 failles critiques dans Firefox
- ↗ CERT-FR — Avis CERTFR-2026-AVI-0172 (Chrome CVE-2026-2441)