Le mythe du Chromebook et par là même de ChromeOS invincible vient de prendre un sacré coup de vieux. Ce 16 mars 2026, Google n’a pas juste balancé une petite mise à jour de routine. La version LTC 144.0.7559.246 (ou plateforme 16503.78.0), c’est un gilet pare-balles envoyé en urgence. Si vos machines tournent sur le canal de support à long terme, elles vont biper. Et pour une fois, vous feriez mieux de ne pas cliquer sur « plus tard ». Pendant ce temps, ceux qui ont opté pour le canal LTS, le plus conservateur, restent bloqués sur la version 138 jusqu’au 21 avril. Un décalage qui, dans le contexte actuel, ressemble à une éternité.
A retenir :
Analyse du déploiement critique de ChromeOS LTC 144.0.7559.246 corrigeant des vulnérabilités d’écriture hors limites (Skia) et de corruption logique (V8) exploitées activement pour l’exécution de code à distance.
Skia et V8 sous assistance respiratoire
Ce qui se passe en coulisses est assez flippant. On ne parle pas de petits bugs d’affichage, mais de failles « Zero-day ». Ça veut dire que des types, quelque part, ont trouvé la faille avant les ingénieurs de Google et s’en servent déjà pour faire les poches des utilisateurs. La CISA, l’agence de cybersécurité US, a carrément ajouté ça à son catalogue des vulnérabilités exploitées connues. C’est du sérieux, du lourd, du « on éteint l’incendie tout de suite« .
Des boutons qui sont dangereux
D’un côté, on a la CVE-2026-3909. Elle touche Skia. Pour faire simple, c’est la bibliothèque qui dessine chaque bouton et chaque image sur votre écran. Le pirate crée une page HTML avec des éléments graphiques vicieux qui forcent le navigateur à écrire des données en dehors de sa zone de mémoire réservée. C’est ce qu’on appelle une « écriture hors limites ». Résultat ? Soit ça plante, soit l’attaquant injecte son propre code malveillant dans votre bécane. Score de danger : 8.8/10. Autant dire que la porte est grande ouverte.
Cette image illustre un pare-feu et un système de détection d’intrusion (IDS) analysant des paquets de données entrants. Elle montre comment le système identifie des signatures de menaces connues et bloque l’accès, déclenchant des alertes visuelles et sonores.
Un moteur à la peine
De l’autre, il y a la CVE-2026-3910. Là, on s’attaque à V8, le moteur JavaScript, le vrai cerveau qui mouline le code des sites web. Une « implémentation inappropriée » dans ce moteur permet à un site piégé de contourner le fameux « bac à sable » (le sandbox) de Chrome. C’est l’exécution de code arbitraire à distance (RCE). Si cette faille rencontre une autre vulnérabilité, le pirate prend les commandes totales de la machine. Le plus flippant ? C’est le Google Threat Analysis Group (TAG) qui a donné l’alerte. Ces experts ne sortent du bois que pour des attaques ultra-sophistiquées, souvent financées par des États ou des groupes de mercenaires numériques.
Zéro effort pour le pirate, un maximum d’emmerdes pour vous
Le pire dans cette histoire, c’est la « faible complexité » de l’attaque. Pas besoin d’être un génie du mal pour se faire avoir. Il suffit de consulter une page web compromise. Un lien dans un mail, une pub vérolée sur un site d’info, et paf : la corruption de mémoire s’active. Vous n’avez même pas besoin d’autoriser quoi que ce soit. C’est pour ça que pour les boîtes et les écoles qui gèrent des parcs de Chromebook, cette mise à jour est une question de survie numérique. Vérifiez vos paramètres, assurez-vous que la mention « à jour » s’affiche. Parce qu’en ce moment, le Web est un peu moins accueillant que d’habitude.
Il est très rare de voir de telles failles de sécurité, surtout quand il s’agit de version LTC (Long-Term Support Candidate). Pour faire simple, voici en quoi ce qui vient d’être détecté et « colmaté » par Google est important. Imaginez que vous êtes en plein travail ou en plein cours : la dernière chose dont vous avez envie, c’est que votre ordinateur décide de se mettre à jour et de changer tous vos menus du jour au lendemain ! C’est exactement pour vous éviter ce stress qu’a été pensée la version LTC de ChromeOS. En gros, c’est le mode « zéro prise de tête » pour les entreprises et les écoles qui ont besoin d’ordinateurs qui marchent à tous les coups.
Un contenu de qualité, sans publicité.
Vous aimez notre travail ? Soutenez notre indépendance en devenant membre sur Patreon.
Soutenir MyChromebook.frComprendre pour mieux prévenir
Pour faire simple, voici comment ça fonctionne :
Avant d’installer la version la plus stable du système (la fameuse version LTS (Long-Term Support)) sur les 500 ordinateurs d’une école, les équipes informatiques ont besoin de la tester. La version LTC, c’est justement ce « brouillon » grandeur nature ! Ils l’installent sur quelques machines pour vérifier que tout roule parfaitement avant de la déployer pour tout le monde.
Sur un Chromebook classique à la maison, on a des nouveautés tous les mois. C’est sympa, mais au travail, ça peut vite devenir agaçant de ne plus retrouver ses boutons ! Avec ce canal, on met pause sur la frénésie : les vrais changements n’arrivent que tous les six mois. Résultat ? Vos habitudes ne sont jamais chamboulées et vous n’avez pas de bugs surprises.
Attention, mettre l’ordinateur « sur pause » ne veut pas dire qu’on l’abandonne ! L’apparence et les fonctions ne bougent pas, mais en coulisses, le système reçoit quand même des pansements invisibles très régulièrement. Votre sécurité est donc toujours garantie à 100 %. On laisse de côté les gadgets à la mode et les petites nouveautés esthétiques pour vous offrir la chose la plus précieuse au travail : un ordinateur sur lequel vous pouvez compter les yeux fermés tous les matins.
Ce que l’on peut retenir, c’est qu’heureusement ces deux failles ont été détectées. Par contre, il est assez étonnant de voir qu’elles ont été découvertes à ce niveau de mise en oeuvre de cette version de ChromeOS. Il est certain, que des MàJ vont arriver dans les prochaines heures pour toutes les versions de ChromeOS, car elles doivent être présente.
FAQ (Foire Aux Questions)
C’est quoi une faille Zero-day ?
C’est une vulnérabilité exploitée par des pirates avant même que le correctif n’existe.
Pourquoi mon Chromebook est-il plus lent ?
Les failles Skia et V8 peuvent causer des plantages et une instabilité du système avant le patch.
Que fait la CISA dans cette histoire ?
Elle oblige les organisations à patcher immédiatement car les attaques sont confirmées sur le terrain.
