Publié le 28 décembre 2025 17:51:00. Apple a déployé en urgence des mises à jour de sécurité pour corriger deux failles de sécurité critiques activement exploitées par des attaquants. Ces vulnérabilités, affectant notamment les appareils iOS, pourraient permettre à des acteurs malveillants de prendre le contrôle des systèmes ciblés.
- Apple a corrigé deux vulnérabilités « zero-day » activement exploitées dans des attaques ciblées.
- Les failles affectent WebKit, le moteur de navigateur utilisé par Safari et tous les navigateurs sur iOS, augmentant le risque pour les utilisateurs.
- Le groupe d’analyse des menaces de Google a contribué à la découverte de ces vulnérabilités, suggérant une possible implication d’acteurs étatiques ou commerciaux.
Apple a publié des mises à jour de sécurité d’urgence pour corriger deux vulnérabilités de sécurité dites « zero-day », des failles que les attaquants exploitaient déjà activement. L’entreprise décrit ces attaques comme « extrêmement sophistiquées » et visant des individus spécifiques, laissant supposer des opérations de type logiciel espion plutôt qu’une cybercriminalité généralisée.
Les deux failles concernent WebKit, le moteur de navigateur qui alimente Safari et tous les navigateurs sur les appareils iOS. Cela signifie que le risque est important : dans certains cas, la simple visite d’une page web malveillante pourrait suffire à déclencher une attaque.
Ce que révèle Apple sur les vulnérabilités
Les vulnérabilités sont identifiées sous les références CVE-2025-43529 et CVE-2025-14174. Apple confirme que les deux ont été exploitées dans les mêmes attaques réelles, ciblant les versions d’iOS antérieures à la 26. Les attaques étaient limitées à des « individus spécifiquement ciblés ».
CVE-2025-43529 est une vulnérabilité d’utilisation après libération de mémoire dans WebKit. En termes simples, elle permettrait aux attaquants d’exécuter leur propre code sur un appareil en manipulant la gestion de la mémoire par le navigateur. Apple attribue la découverte de cette faille au groupe d’analyse des menaces de Google, une information souvent associée à des activités de logiciels espions menées par des États ou des entreprises.
La deuxième faille, CVE-2025-14174, est également liée à WebKit et implique une corruption de la mémoire. Bien qu’Apple décrive l’impact comme une corruption de la mémoire plutôt qu’une exécution directe de code, ce type de faille est souvent combiné à d’autres vulnérabilités pour compromettre complètement un appareil.
Apple précise que cette vulnérabilité a été découverte conjointement par ses équipes et le groupe d’analyse des menaces de Google. Dans les deux cas, l’entreprise a reconnu avoir eu connaissance de rapports confirmant une exploitation active de ces failles dans la nature. Ce langage est important, car Apple l’utilise généralement pour signaler des attaques avérées, et non de simples risques théoriques.
Apple affirme avoir corrigé ces problèmes grâce à une meilleure gestion de la mémoire et à des contrôles de validation renforcés, sans divulguer de détails techniques qui pourraient aider les attaquants à reproduire les exploits.
Appareils concernés et coordination des correctifs
Apple a publié des correctifs pour l’ensemble de ses systèmes d’exploitation pris en charge, notamment les dernières versions d’iOS, iPadOS, macOS, Safari, watchOS, tvOS et visionOS. Les appareils concernés incluent l’iPhone 11 et les modèles plus récents, plusieurs générations d’iPad Pro, l’iPad Air (à partir de la troisième génération), l’iPad (à partir de la huitième génération) et l’iPad mini (à partir de la cinquième génération). Cela couvre une large majorité des iPhones et iPads encore utilisés aujourd’hui.
Les correctifs sont disponibles dans iOS 16.2 et iPadOS 16.2, iOS 17.7.3 et iPadOS 17.7.3, macOS Tahoe 16.2, tvOS 16.2, watchOS 16.2, visionOS 16.2 et Safari 16.2. Étant donné qu’Apple impose l’utilisation de WebKit pour tous les navigateurs sur iOS, la même vulnérabilité affecte également Chrome sur iOS.
Comment se protéger : 6 mesures essentielles
Voici six mesures concrètes à adopter pour renforcer votre sécurité, en particulier face à des attaques « zero-day » ciblant des individus spécifiques :
1) Installez les mises à jour dès leur publication
Cela peut sembler évident, mais c’est primordial. Les attaques « zero-day » exploitent les logiciels obsolètes. Si Apple publie une mise à jour d’urgence, installez-la immédiatement. Retarder les mises à jour offre aux attaquants une fenêtre d’opportunité.
2) Soyez vigilant avec les liens, même ceux provenant de contacts connus
La plupart des exploits WebKit commencent par du contenu web malveillant. Évitez de cliquer sur des liens aléatoires envoyés par SMS, WhatsApp, Telegram ou e-mail, sauf si vous les attendez. En cas de doute, ouvrez le site web en tapant l’adresse manuellement. L’installation d’un logiciel antivirus sur tous vos appareils peut également vous protéger contre les liens malveillants et les tentatives de phishing.
3) Adoptez une configuration de navigation sécurisée
Si vous êtes journaliste, militant ou si vous manipulez des informations sensibles, réduisez votre surface d’attaque. Utilisez uniquement Safari, évitez les extensions de navigateur inutiles et limitez l’ouverture de liens dans les applications de messagerie.
4) Activez le mode de verrouillage si vous vous sentez menacé
Le mode de verrouillage d’Apple est conçu pour se protéger contre les attaques ciblées. Il restreint certaines technologies web, bloque la plupart des pièces jointes aux messages et limite les vecteurs d’attaque couramment utilisés par les logiciels espions. Il n’est pas destiné à tous les utilisateurs, mais il peut être utile dans des situations à risque.
5) Limitez l’exposition de vos données personnelles
Les attaques ciblées commencent souvent par la collecte d’informations sur la victime. Plus il y a de données personnelles disponibles en ligne, plus il est facile de vous cibler. Supprimez vos données des sites de courtiers et renforcez les paramètres de confidentialité de vos réseaux sociaux pour réduire votre visibilité. Des services de suppression de données peuvent vous aider à automatiser ce processus.
6) Surveillez le comportement inhabituel de vos appareils
Des plantages inattendus, une surchauffe, une décharge rapide de la batterie ou la fermeture inopinée de Safari peuvent être des signes d’alerte. Cela ne signifie pas nécessairement que votre appareil est compromis, mais il est prudent de mettre à jour immédiatement et, si nécessaire, de réinitialiser l’appareil.
Apple n’a pas divulgué d’informations sur les cibles ou les méthodes utilisées dans ces attaques. Cependant, cette tendance correspond à des campagnes passées de logiciels espions ciblant des journalistes, des militants, des personnalités politiques et d’autres personnes d’intérêt pour des acteurs de surveillance. Avec ces correctifs, Apple a corrigé sept vulnérabilités « zero-day » exploitées activement en 2025, y compris des failles révélées plus tôt cette année et un correctif rétroporté en septembre pour les appareils plus anciens.
