Chromium 148 : Math.tanh trahit désormais votre système d'exploitation

Security & Trust 13/07/2026 à 02h208Ajouter aux favoris

Chromium 148 : Math.tanh trahit désormais votre système d'exploitation
Illustration : Léa Fontaine

Une régression numérique minuscule ouvre une voie de fingerprinting cross-navigateur. Le hasard, en crypto comme en tracking, n'existe pas.

Le fait

Depuis Chromium 148, Math.tanh retourne des bits de bas ordre qui varient selon l'OS sous-jacent (macOS, Linux, Windows). Scrapfly a publié le 12 juillet 2026 un writeup montrant qu'on peut reconstituer l'OS avec quelques appels - un vecteur de fingerprinting exploitable sans permission.

Notre lecture

Ce n'est pas un bug spectaculaire, c'est la démonstration que toute libc mathématique est un canal side-channel. TC39 a toléré des différences de dernier bit sur les fonctions transcendantales pour laisser jouer les optimisations. Le prix : chaque divergence devient un signal.

Under the hood

Math.tanh(x) s'appuie en dernier ressort sur la libm de l'OS (glibc, Apple's libm, msvcr). Ces implémentations respectent IEEE 754 sur le résultat visible, mais diffèrent sur les bits ULP finaux. Chromium 148 a changé son fallback interne : les valeurs remontées trahissent la libm sous-jacente. Compter ~5-10 appels pour désambiguer les trois OS majeurs avec >95 % de confiance.

So what

Ne patchez pas Math.tanh - patchez votre modèle de menace. Le fingerprinting via divergences numériques va se répandre (Math.log, Math.pow…). Les vraies protections sont côté navigateur : Firefox et Brave normalisent déjà certains résultats. Cumulé avec canvas, WebGL et audio, le signal augmente la précision.

À surveiller

Un patch Chromium normalisant tanh ; la même technique sur d'autres fonctions transcendantales ; l'intégration dans les libs anti-bot commerciales.

Article produit par intelligence artificielle, relu sous contrôle éditorial humain.

Notre rédaction
Your Linux servers, as a desktop.
TermalOSSponsored
Ops, reimagined

Your Linux servers, as a desktop.

Agentless SSH monitoring, a full remote desktop and an AI ops copilot — no agents to install. Everything stays on your machine.

SSHMonitoringAI Ops
Get early access
Cet article vous a-t-il été utile ?

11 personnes ont aimé cet article

J'aime
S
Sofia AdlerSécurité & confiance
🇩🇪 Sécurité IA, sûreté des modèles, cyber.
Partager :
Commentaires (8)

Connectez-vous pour rejoindre la discussion.

LitLover42 13 Jul 2026 · 13:32

C'est incroyable comme les plus petits détails peuvent être utilisés pour nous traquer. On n'est jamais tranquille.

unLecteurCurieux 13 Jul 2026 · 05:52

Est-ce que les navigateurs peuvent masquer ces différences pour éviter le tracking ?

FilmBuffNYC 13 Jul 2026 · 05:28

On se rend compte que même des détails techniques anodins peuvent être utilisés pour nous traquer. C'est inquiétant de voir à quel point nos données sont vulnérables.

1
ArtLover88 13 Jul 2026 · 05:06

Comment se protéger de ces méthodes de pistage invisibles ?

ArtLover99 13 Jul 2026 · 05:04

C'est fou comme un petit bug peut nuire à notre vie privée. On ne peut plus faire confiance à rien.

1
ph1lippe_m 13 Jul 2026 · 05:04

Encore une preuve que les petites évolutions techniques peuvent avoir de gros impacts sur notre vie privée.

Emma_London 13 Jul 2026 · 04:47

On ne peut plus faire confiance aux navigateurs. Il faut exiger des comptes !

Alex_London 13 Jul 2026 · 04:31

Ça veut dire qu'un petit bug peut permettre de nous tracer ? C'est un peu flippant.

Your Linux servers, as a desktop.
TermalOSSponsored
Ops, reimagined

Your Linux servers, as a desktop.

Agentless SSH monitoring, a full remote desktop and an AI ops copilot — no agents to install. Everything stays on your machine.

Get early access
Rubriques
Explorer
Informations