Une faille de sécurité critique a été découverte dans les navigateurs basés sur Chromium. Les chercheurs estiment qu'elle pourrait permettre à des cybercriminels d'exploiter les ordinateurs et les smartphones des utilisateurs au sein d'un réseau de zombies (botnet). Ce problème affecte Google Chrome et de nombreux autres navigateurs populaires utilisant le même moteur. Fait troublant, cette vulnérabilité a été signalée il y a plusieurs années et, malgré son caractère prioritaire, n'a toujours pas été entièrement corrigée. Le problème est lié au mécanisme Browser Fetch. Cette norme permet le téléchargement de fichiers en arrière-plan sans qu'il soit nécessaire de laisser un onglet ouvert dans le navigateur. Conçue pour simplifier l'utilisation, cette fonctionnalité pourrait, selon les experts, servir à créer des connexions permettant à l'appareil de l'utilisateur de rejoindre un vaste réseau de robots (botnet). Les botnets sont utilisés pour mener des attaques par déni de service distribué (DDoS), envoyer des spams et se livrer à d'autres activités cybercriminelles. Les chercheurs avertissent également que cette vulnérabilité pourrait potentiellement permettre d'accéder à certaines données relatives à l'activité du navigateur et à l'historique de navigation. La vulnérabilité a été découverte fin 2022 par la chercheuse en sécurité Lyra Rebane. D'après les informations disponibles, Google l'a classée comme une vulnérabilité critique, de niveau S1 (deuxième niveau de risque le plus élevé selon l'échelle de sécurité de l'entreprise). Cependant, près de 29 mois plus tard, elle n'a toujours pas été corrigée officiellement.

Comparée aux failles de sécurité classiques qui nécessitent l'installation de logiciels malveillants, celle-ci paraît particulièrement dangereuse car, selon les chercheurs, il suffit d'ouvrir un site web correctement préparé. D'autres inquiétudes subsistent, notamment le fait qu'un code de démonstration public illustrant cette vulnérabilité soit déjà disponible en ligne. Cela signifie que des personnes possédant des connaissances de base en sécurité pourraient tenter d'exploiter cette faille à leurs propres fins. Selon certaines sources, il n'est même pas nécessaire d'installer une application, d'accepter des autorisations ou de télécharger un fichier pour exposer potentiellement son appareil à ce risque. Google n'a pas encore communiqué de délai précis pour la résolution du problème. La nature même de ce dernier le rend d'autant plus difficile à détecter pour les utilisateurs. Dans certains cas, seul un bref message relatif aux téléchargements de fichiers peut s'afficher, sans qu'aucun fichier ne soit enregistré sur l'appareil.