Tech

Faille critique dans Chrome : une extension pouvait accéder à votre caméra, micro et fichiers via Gemini Live — avez‑vous installé ce plugin ?

Une vulnérabilité critique a été découverte dans le panneau latéral « Gemini Live » de Chrome : une extension malveillante pouvait, grâce à ce bug, s’injecter dans ce panneau et obtenir des droits qu’elle n’aurait jamais dû avoir — accès à la caméra, au micro, aux fichiers locaux, et la possibilité d’afficher des contenus de phishing. Google a publié un correctif en début janvier (CVE‑2026‑0628), mais l’incident illustre combien l’intégration d’agents IA directement dans le navigateur change la donne en matière de sécurité.

Comment la faille fonctionnait

Gemini Live est une fonctionnalité qui permet d’appeler l’IA de Google depuis une barre latérale de Chrome pour obtenir de l’aide contextuelle, résumer une page ou exécuter des tâches. Pour rendre cela possible, le panneau bénéficie d’un accès privilégié au contenu de la page active — il voit « ce que voit » l’utilisateur. La vulnérabilité permettait à une extension, normalement confinée dans son propre environnement, d’injecter du code JavaScript directement dans l’instance de Gemini chargée dans le panneau latéral. Or, lorsque Gemini s’exécute dans une page normale, il n’a pas ces privilèges. C’est donc la combinaison « Gemini dans le panneau + injection par extension » qui créait la brèche.

Les risques concrets pour les utilisateurs

Les conséquences possibles sont alarmantes :

  • Activation de la caméra et du micro à l’insu de l’utilisateur, donnant accès à des flux audio et vidéo privés ;
  • Lecture et exfiltration de fichiers présents sur la machine ;
  • Prise de captures d’écran et usurpation d’affichage (phishing) afin de tromper l’utilisateur ;
  • Potentielle exploitation pour des attaques en chaîne : l’extension malveillante peut, par un simple update, passer d’inoffensive à dangereuse.
    • Article à lire  Comment savoir si une personne est un brouteur et éviter les arnaques en ligne

    Cela change radicalement la nature des extensions « apparemment bénignes » : si elles ont la capacité technique d’injecter du code, l’impact peut être dramatique — d’autant que les permissions demandées par une extension au moment de son installation ne reflètent pas toujours la portée d’un code chargé a posteriori.

    Pourquoi les extensions deviennent un vecteur privilégié

    Plusieurs facteurs expliquent l’attrait des attaquants pour ce vecteur :

  • Distribution facilitée via les stores officiels (Chrome Web Store) qui donnent une apparence de légitimité ;
  • Possibilité de mise à jour silencieuse : une extension validée peut télécharger un nouvel artefact ou activer une fonctionnalité malveillante après installation ;
  • La complexité croissante des navigateurs modernes et des panneaux intégrés multiplie les surfaces d’attaque — Gemini/agents AI embarqués en tête.

    • Les navigateurs intégrant des agents d’IA enrichissent l’expérience utilisateur, mais ouvrent aussi des brèches inédites, parce qu’ils exigent des accès profonds aux contenus et aux périphériques.

    Que dit la notice de sécurité et quelle réponse de Google ?

    Google a corrigé la vulnérabilité début janvier et a identifié la CVE‑2026‑0628. Les chercheurs de Palo Alto Networks, qui ont signalé le bug, ont publié des détails techniques sur la mécanique de l’exploitation. La rapidité de la réaction est un point positif, mais l’incident alerte : la fenêtre d’exposition (le temps entre la découverte et le patch) reste critique, surtout quand des extensions malveillantes sont déjà en circulation.

    Bonnes pratiques pour les utilisateurs et les entreprises

    Face à ces risques, plusieurs recommandations s’imposent :

  • Limiter le nombre d’extensions installées : ne garder que celles réellement utiles et provenant d’éditeurs fiables ;
  • Contrôler les permissions : vérifier ce que demande chaque extension au moment de l’installation et refuser les permissions disproportionnées ;
  • Éviter l’utilisation des interfaces AI intégrées au navigateur pour des activités sensibles — privilégier l’accès aux chatbots via leurs interfaces web dédiées ou via des environnements sandboxés pour les entreprises ;
  • Maintenir Chrome à jour : appliquer immédiatement les correctifs publiés par l’éditeur ;
  • Pour les organisations : restreindre l’installation d’extensions par politique IT, utiliser des catalogues approuvés et surveiller les comportements réseau suspects.
    • Article à lire  Error: HTTP 400 - { error: { message:Missing required parameter: 'model'., type:invalid_request_error, param:model, code:missing_required_parameter }}

    Un appel à la gouvernance et à la responsabilité

    La vulnérabilité met en lumière la nécessité d’une gouvernance renforcée autour des fonctionnalités d’IA intégrées au navigateur. Les éditeurs d’agents IA et de navigateurs doivent concevoir ces intégrations avec le principe de moindre privilège : un panneau latéral ne doit pas automatiquement hériter d’un accès étendu sans contrôles stricts. Parallèlement, les stores d’extensions devraient renforcer leurs mécanismes de validation et de contrôle post‑publication pour détecter des mises à jour malveillantes. Enfin, la transparence vis‑à‑vis des utilisateurs est essentielle : informer clairement des capacités d’une fonctionnalité et des risques associés permet de réduire la surprise et de responsabiliser.

    Conclusion opérationnelle

    La découverte de CVE‑2026‑0628 doit servir d’électrochoc : l’intégration de l’IA dans l’environnement de navigation multiplie les opportunités pour les attaquants, et les extensions restent un vecteur à haut risque. Entre vigilance utilisateur, gouvernance IT stricte et amélioration continue des processus de validation des magasins d’extensions, il faut agir sur plusieurs fronts pour contenir ces menaces. En l’état, la meilleure défense reste la combinaison d’un parc logiciel à jour et d’une hygiène numérique rigoureuse.

    Related Posts

    You May Have Missed