Chrome : le “bug sensible” qui vaut 60 secondes (et pourquoi Google te demande de vérifier à la main)

Ce matin, tu vois passer un message :

“Chrome a un bug sensible, il faut mettre à jour au plus vite, manuellement.”

Et tu te dis : encore un truc exagéré ?
Sauf que là, ce n’est pas du bruit.

Le vendredi 13 février 2026, Google a publié un correctif d’urgence pour une faille zero-day (CVE-2026-2441) et précise noir sur blanc qu’un exploit existe “dans la nature” (donc utilisé en conditions réelles).

Le problème en clair (sans jargon)

CVE-2026-2441 est une vulnérabilité de type use-after-free dans le composant CSS de Chrome. Concrètement : une simple page web piégée peut suffire à déclencher une exploitation dans le bac à sable du navigateur (et ça peut être un point de départ pour une attaque plus large).

Et ce n’est pas “juste une CVE de plus” : la faille a été ajoutée au catalogue des vulnérabilités connues comme exploitées par CISA, avec une échéance de correction au 10 mars 2026 pour les organisations concernées.

Pourquoi “mise à jour manuelle” ?

Parce que le déploiement Stable “roule” sur plusieurs jours/semaines. Si tu attends l’automatique, tu peux rester vulnérable plus longtemps que nécessaire.

Ce que tu dois faire (2 clics, 1 relance)

1. Ouvre Chrome
2. Va sur Aide → À propos de Google Chrome
   (ou tape chrome://settings/help)
3. Laisse Chrome télécharger la mise à jour
4. Clique Relancer (sinon le correctif n’est pas appliqué)

C’est la procédure officielle Google.

Quelle version est “safe” ?

Le correctif zero-day (13 février 2026) est arrivé avec :

• Windows / macOS : 145.0.7632.75/76
• Linux : 144.0.7559.75

Source : https://chromereleases.googleblog.com/2026/02/stable-channel-update-for-desktop_13.html

Depuis, une version Stable plus récente existe (18 février 2026) — donc si tu peux, vise simplement la dernière version proposée sur la page “À propos”.

Cas particulier : “Extended Stable” (souvent en entreprise)

L’avis du CERT-FR mentionne aussi le canal Extended Stable : versions antérieures à 144.0.7559.177 (Windows/Mac) sont concernées.

Petit piège classique : les fausses alertes de mise à jour

Si une page web t’affiche un pop-up “Mettez Chrome à jour”, ne clique pas sur un téléchargement. Passe toujours par À propos de Chrome / chrome://settings/help. Google prévient que ces pop-ups peuvent être des arnaques/malwares.

Sources

• Notes de version Chrome (13 février 2026) : correctif + mention “exploit in the wild”.
• Avis CERT-FR (16 février 2026) : versions affectées + CVE.
• Fiche NVD / NIST : description + statut KEV.
• Catalogue KEV CISA : vulnérabilité exploitée + échéance.
• Aide Google : procédure officielle de mise à jour.