15/12
L’iPhone touché par deux failles importantes, permettant une attaque “extrêmement sophistiquée”
Deux failles de sécurité découvertes dans le code de l’iPhone et d’autres appareils Apple ont été exploitées dans le cadre d’une cyberattaque qualifiée « d’extrêmement sophistiquée » par le constructeur. Apple a déployé un correctif via la mise à jour iOS 26.2 afin de colmater ces vulnérabilités.
Dans un bulletin de sécurité récent, Apple indique avoir identifié deux failles affectant « les versions d’iOS antérieures à iOS 26 ». Il s’agit de vulnérabilités dites zero day, c’est-à-dire déjà exploitées par des attaquants avant la publication d’un correctif. Selon l’entreprise, ces brèches ont servi dans le cadre d’une attaque ciblée. Apple précise avoir eu « connaissance d’un rapport selon lequel ce problème aurait pu être exploité dans le cadre d’une attaque extrêmement sophistiquée contre des individus ciblés ».
Le groupe ne fait pas état d’une attaque massive, mais plutôt d’opérations visant un nombre limité de personnes. Ce type de scénario concerne généralement des profils sensibles, tels que des responsables politiques, des journalistes ou des militants.
Deux failles liées au moteur WebKit
Les deux vulnérabilités ont été découvertes par des chercheurs de Google et concernent WebKit, le moteur de rendu web utilisé par Safari et par de nombreuses applications iOS. La première faille repose sur une mauvaise gestion de la mémoire, permettant l’exécution de code malveillant lorsque WebKit réutilise une zone mémoire déjà libérée. La seconde vulnérabilité, également liée à WebKit, permet de corrompre la mémoire à partir de contenus web spécialement conçus.
Cette dernière faille est similaire à une vulnérabilité ayant affecté la bibliothèque open source Almost Native Graphics Layer Engine (ANGLE), utilisée notamment par le navigateur Chrome, et corrigée par Google quelques jours auparavant.
Apple indique que plusieurs générations d’appareils sont vulnérables. Sont notamment concernés l’iPhone 11 et tous les modèles antérieurs, ainsi que de nombreux iPad, dont les iPad Pro 12,9 pouces à partir de la troisième génération, les iPad Pro 11 pouces dès la première génération, les iPad Air à partir de la troisième génération, les iPad de huitième génération et plus récents, ainsi que les iPad mini à partir de la cinquième génération.
Pour corriger ces failles, Apple a intégré des correctifs de sécurité dans la mise à jour iOS 26.2, déployée au début du week-end. Outre ces correctifs d’urgence, la mise à jour apporte également quelques nouveautés fonctionnelles, dont l’activation de la traduction en direct pour certains modèles d’AirPods.
Depuis le début de l’année 2025, Apple indique avoir corrigé sept failles zero day exploitées activement par des cybercriminels. Pour se protéger, les utilisateurs sont invités à installer sans tarder la mise à jour en se rendant dans les réglages de leur appareil, rubrique Général, puis Mise à jour logicielle.
Source : 01net