Une faille dans gemini chrome aurait pu espionner vos appareils

Publié le 30/03/2026 22:18 dans technologie Elise Colette

Une extension malveillante, quelques lignes de code injectées au bon endroit, et votre caméra s'active à votre insu. Ce scénario n'est pas de la science-fiction : c'est exactement ce que la vulnérabilité CVE-2026-0628, découverte dans le panneau Gemini de Chrome, aurait permis à un attaquant d'accomplir. L'affaire a été mise au jour par les chercheurs d'Unit 42, l'unité de renseignement sur les menaces de Palo Alto Networks, et elle dit quelque chose d'inconfortable sur la direction que prend l'intégration de l'IA dans nos navigateurs.

Quand l'assistant ia devient une porte dérobée

Le panneau latéral Gemini, intégré directement dans Chrome, est conçu pour vous éviter de quitter votre page web. Pratique, séduisant, profondément ancré dans le navigateur. C'est précisément cette profondeur d'intégration qui a créé le problème. Le panneau fonctionne avec des privilèges élevés au sein de Chrome — un niveau d'accès que la plupart des composants du navigateur n'ont pas. Résultat : quiconque parvenait à y injecter du code disposait d'un levier d'action bien plus puissant que ce qu'une extension ordinaire aurait jamais pu espérer.

Les chercheurs d'Unit 42 ont démontré qu'une extension ne disposant que de permissions basiques suffisait à exploiter la faille. Pas besoin d'accès administrateur, pas besoin d'une installation sophistiquée. Une fois le panneau compromis, l'attaquant pouvait accéder au microphone et à la caméra sans aucune demande de consentement, capturer des captures d'écran de toutes les pages ouvertes, lire des fichiers stockés localement sur la machine, et exécuter des scripts directement dans l'interface de Gemini. Un accès quasi total, obtenu par la petite porte.

Google a corrigé le tir, mais le signal reste préoccupant

Google a corrigé le tir, mais le signal reste préoccupant

Les chercheurs ont alerté Google en octobre dernier. La firme a reproduit le problème en interne, et un correctif a été déployé en janvier. Les utilisateurs de Chrome bénéficient très probablement déjà de la mise à jour automatique — aucune action particulière n'est requise de leur part.

Mais le correctif ne clôt pas vraiment le débat. Ce que cette affaire révèle, c'est la tension structurelle entre la course à l'intégration de l'IA et la rigueur nécessaire en matière de sécurité. Chaque nouvelle fonctionnalité qui s'enracine dans les couches profondes d'un navigateur crée une surface d'attaque inédite, que les équipes de sécurité découvrent souvent après coup. Unit 42 a eu la bonne idée de chercher avant que quelqu'un d'autre ne trouve. Cette fois-ci.