Une mise à jour Google Chrome corrige une faille de sécurité zero-day exploitée dans des attaques : CVE-2026-5281. La 4ème de ce type depuis début 2026.
Le post Google corrige en urgence la 4ème faille zero-day de Chrome en 2026 a été publié sur IT-Connect.
Google a caché un petit easter egg en l’honneur du retour de Céline Dion à Paris en 2026. Une animation sobre, mais pleine d’affection.
Une faille découverte dans l'extension Chrome de Claude permettait à n'importe quel site web d'injecter silencieusement des prompts dans votre assistant IA. Pas besoin de cliquer, pas besoin de permission... non, fallait juste visiter une page web et c'était réglé. Le chercheur Oren Yomtov de Koi Security à l’origine de cette découverte, a baptisé ça "ShadowPrompt" et vous allez voir, c'est dingue.
En fait, cette attaque enchaînait deux failles. La première, c'est que l'extension acceptait les messages de n'importe quel sous-domaine en *.claude.ai, car Anthropic avait mis en place un allowlist trop permissif. Sauf qu'Arkose Labs, le fournisseur de CAPTCHA, hébergeait un composant sur a-cdn.claude.ai et malheureusement, ce composant contenait une jolie faille XSS bien classique. Celui-ci acceptait les postMessage sans vérifier l'origine, et le texte reçu était ainsi injectable via un dangerouslySetInnerHTML . Donc y'a bien ZERO validation côté client. Ouééééé !
Un attaquant n'avait qu'à embarquer ce composant CAPTCHA vulnérable dans une iframe cachée sur son site, envoyer un payload via postMessage, et hop, le script injecté pouvait balancer un prompt directement à l'extension. Elle le recevait depuis un domaine *.claude.ai, donc elle l'acceptait les yeux fermés et l'affichait alors dans la sidebar comme une requête légitime de l'utilisateur. La victime ne voyait strictement rien.
Et les dégâts potentiels ne sont clairement pas anecdotiques ! Avec cette technique, un attaquant pouvait voler vos tokens d'accès Gmail, exfiltrer des documents Google Drive, lire tout l'historique de vos conversations avec Claude, et même envoyer des mails en votre nom. Perso, ça fait beaucoup pour un simple onglet ouvert dans Chrome, quoi.
Le chercheur a trouvé le vecteur en bruteforçant les anciennes versions du composant Arkose Labs, en remontant depuis la version 1.26.0 jusqu'à trouver une mouture encore vulnérable. Simple, basique comme dirait Orel :)
Si vous suivez les failles des assistants IA, c'est pas la première fois qu'on voit ce genre de scénario. Claude Cowork s'était déjà fait épingler pour de l'exfiltration de fichiers via des documents piégés, et le navigateur Perplexity Comet avait le même problème avec des invitations de calendrier. Le problème de fond, c'est que ces extensions veulent tout faire à votre place, mais elles ne sont pas forcément capables de distinguer une requête légitime d'une attaque.
Par contre, attention, le fix ne protège que les utilisateurs qui ont mis à jour l'extension, donc n'oubliez pas de vérifier votre version. Koi Security a signalé la faille à Anthropic le 26 décembre 2025 (joyeux Noël !) et ces derniers ont confirmé le lendemain et déployé le correctif le 15 janvier, dans la version 1.0.41 de l'extension Chrome.
Maintenant au lieu d'accepter *.claude.ai, l'extension exige maintenant une correspondance exacte avec https://claude.ai . Arkose Labs a de son côté aussi corrigé la faille XSS en février, en renvoyant un 403 sur l'URL vulnérable. À vrai dire, la réactivité d'Anthropic a été plutôt correcte sur ce coup.
Bref, allez vérifier que vous êtes au moins en v1.0.41 (chrome://extensions pour checker). Et n'oubliez pas, plus une extension IA a de pouvoirs, plus elle est intéressante à hacker...
Le 26 mars 2026, Samsung a annoncé le lancement de son navigateur sur Windows, accompagné d’un assistant IA. Une nouvelle étape dans sa stratégie pour étendre son écosystème au-delà du smartphone.
En moins d'une semaine, Google a publié deux mises à jour de sécurité pour son navigateur Google Chrome. Au total, 34 failles de sécurité ont été corrigées.
Le post Google Chrome : 34 vulnérabilités corrigées en quelques jours a été publié sur IT-Connect.
Dans un article de blog publié le 19 mars 2026, les chercheurs de Gen Threat Labs mettent en lumière les nouvelles capacités de VoidStealer, un infostealer vendu sur le dark web depuis décembre 2025, qui a récemment développé une technique inédite pour contourner le chiffrement renforcé de Google Chrome.
Dans un article de blog publié le 19 mars 2026, les chercheurs de Gen Threat Labs mettent en lumière les nouvelles capacités de VoidStealer, un infostealer vendu sur le dark web depuis décembre 2025, qui a récemment développé une technique inédite pour contourner le chiffrement renforcé de Google Chrome.
Un bricoleur a assemblé un petit montage à base d'ATtiny85 qui joue automatiquement au jeu du dinosaure caché dans Google Chrome. Le tout pour moins de 10 euros de composants et avec un microcontrôleur pas plus grand qu'un pouce.
Le projet est signé Albert David, et le principe est assez malin. Une carte Digispark ATtiny85, qui coûte entre 2 et 5 euros, est branchée en USB sur un PC et se fait passer pour un clavier grâce au protocole HID. Pour le reste, vous avez deux modules LM393 photorésistants qui sont collés directement sur l'écran, le premier au niveau du sol pour voir les cactus, et le second plus haut pour voir les oiseaux.
C'est au passage de chaque obstacle que la luminosité change, et donc que le capteur s'active pour envoyer la touche espace ou la flèche du bas pour sauter et baisser la tête, le tout à travers le microcontrôleur, et seulement 8 ko de mémoire flash.
Encore plus fort, l'ensemble intègre un système de timing interactif, avec un firmware qui mesure la largeur des obstacles, et surtout conserve un historique de cinq mesures, pour estimer au mieux la vitesse du jeu.
Le délai entre la détection et l'appui sur la touche est recalculé en permanence, avec des bornes minimales et maximales pour éviter les ratés. Il y a aussi un délai de 400 millisecondes entre chaque action pour ne pas mitrailler les touches.
Côté calibration, il faut quand même un peu de patience. Les deux capteurs doivent être positionnés à 30-40 mm devant le dinosaure, et les potentiomètres des modules LM393 ajustés pour que le fond blanc de l'écran ne déclenche rien mais que les obstacles foncés soient bien détectés.
Albert David recommande de tester sur une vingtaine d'obstacles avant de considérer le réglage comme bon. Et si le jeu passe en mode nuit, une commande JavaScript dans la console du navigateur empêche l'inversion de contraste qui fausserait les capteurs.
Bref, vous l'avez compris, c'est le genre de projet qui ne sert strictement à rien, et c'est pour ça qu'on aime bien. Avec moins de 10 euros de composants, un bout de code en C et deux capteurs de luminosité scotchés sur un écran, on obtient un système qui joue au jeu du dinosaure mieux que la plupart d'entre nous.
Le code est disponible sur GitHub pour ceux qui voudraient essayer, et vous avez tous les détails ici . Tout ceci rappelle quand même que ce petit jeu caché de Chrome, que Google avait glissé là pour meubler les coupures internet, continue de mobiliser les bidouilleurs du dimanche.
Google a publié deux mises à jour Google Chrome en l'espace de 48 heures dans le but de patcher deux failles zero-day : CVE-2026-3909 et CVE-2026-3910.
Le post Google Chrome : 2 mises à jour en 2 jours pour patcher plusieurs failles zero-day a été publié sur IT-Connect.
Google annonce Chrome pour Linux ARM64 pour le deuxième trimestre 2026. Ce navigateur va s’adresser notamment aux distributions Linux basées sur Debian et RPM.
Cet article Chrome arrive sur Linux ARM64, Google corrige une vieille anomalie a été publié en premier par GinjFo.
Si vous utilisez un agent IA pour coder, y'a un truc qui sorti y'a quelques semaines et qui change clairement la donne. En fait c'est l'équipe de Chrome DevTools qui a balancé son propre serveur MCP pour connecter vos agents directement aux entrailles de Chrome. 29 outils répartis en 6 catégories (input, navigation, émulation, perf, réseau, debug)... et comme vous allez voir, c'est du lourd !
J'ai testé et c'est pas un wrapper qui clique bêtement sur des boutons. Chrome DevTools MCP donne en réalité un accès direct au Chrome DevTools Protocol via Puppeteer à votre IA. Du coup, votre agent peut capturer des traces de performance, lancer un audit Lighthouse, prendre des snapshots mémoire ou inspecter les requêtes réseau. En gros, TOUT ce que vous faites à la main dans l'onglet DevTools de Chrome, votre IA peut le faire à votre place.
D'ailleurs, si vous aviez kiffé BrowserWing qui enregistre vos actions navigateur pour les rejouer via MCP, ici c'est l'approche inverse. Pas de replay mais votre agent accède directement aux outils de debug. Et l'installation tient en une ligne. Vous collez ça dans votre settings.json (VS Code) ou votre config MCP et hop, c'est parti :
Connexion{
"mcpServers": {
"chrome-devtools": {
"command": "npx",
"args": ["-y", "chrome-devtools-mcp@latest"]
}
}
}
Y'a aussi toutes les lignes de commande à taper dans votre console sur le Github, selon votre outil. Ça marche avec VS Code, Cursor, Claude Code , Cline, JetBrains, Gemini CLI... en gros, tout ce qui cause MCP.
Et côté options, y'a aussi de quoi s'amuser. Le mode --headless pour tourner sans interface graphique, --isolated pour un profil Chrome temporaire qui se nettoie tout seul (pratique pour les tests), --slim pour n'exposer que les outils essentiels si vous voulez garder ça minimal, ou encore --channel pour choisir entre Chrome stable, beta, dev ou canary.
Le truc vraiment pratique (enfin moi en tant que "webmaster", j'adore) c'est la partie analyse de performance. Votre agent lance une trace, l'analyse et vous sort un diagnostic, du genre que votre First Contentful Paint est à 3.2 secondes parce qu'un script de 800 Ko bloque le rendu... tout ça sans que vous ayez à ouvrir les DevTools vous-même ! Pour déboguer des pages lentes, c'est carrément royal.
Attention quand même, tout ce que le navigateur affiche est exposé au client MCP donc évitez de lancer ça sur des pages avec vos mots de passe ou vos coordonnées bancaires, évidemment. Ah et comme ça reste un produit du méchant Google qui pompe toutes vos datas, sachez que les stats d'utilisation sont activées par défaut, donc pensez à les désactiver avec --no-usage-statistics si ça vous chiffonne ^^.
Voilà, pour du débogage et de l'analyse de perf pilotés par IA, y'a pas mieux pour l'instant.
Merci à Letsar et Lorenper pour le partage !
Google accélère le rythme des mises à jour de Chrome. À partir de septembre 2026, sa maintenance suivra un cycle de publication de 14 jours
Cet article Chrome va se mettre à jour toutes les deux semaines a été publié en premier par GinjFo.
Dès septembre 2026, Google va publier une nouvelle version de Google Chrome toutes les deux semaines au lieu d'une version toutes les quatre semaines.
Le post Google va publier des mises à jour de Chrome toutes les 2 semaines ! a été publié sur IT-Connect.
Dans un article publié le 16 janvier 2026, les chercheurs en cybersécurité de Huntress ont mis en lumière la face cachée d’une extension de blocage de publicités pour Chrome et Edge. Nommée NexShield, elle provoque volontairement le plantage du navigateur en préparation de l’assaut final.
Le 30 décembre 2025, les chercheurs de Koi Security ont publié les conclusions de leur dernière enquête sur l’acteur cybercriminel DarkSpectre. Identifié depuis plusieurs années, cet acteur chinois aurait récemment disséminé des extensions de navigateur visant à collecter des renseignements d’entreprise, en extrayant notamment des informations issues de réunions Zoom et Google Meet.
