Publié le 21 décembre 2025 19:52:00. Les autorités indiennes et américaines mettent en garde contre l’exploitation active de failles de sécurité critiques dans le moteur WebKit d’Apple, utilisées dans des attaques d’espionnage ciblées. Les utilisateurs de tous les appareils Apple sont appelés à effectuer immédiatement les mises à jour nécessaires.
- Deux vulnérabilités zero-day dans WebKit sont activement exploitées par des attaquants.
- Ces failles permettent l’exécution de code arbitraire sur les appareils compromis.
- Les agences de cybersécurité américaine (CISA) et indienne (CERT-In) demandent une mise à jour urgente.
Une alerte a été lancée par les autorités indiennes et américaines concernant l’exploitation active de deux vulnérabilités de sécurité critiques dans WebKit, le moteur de navigation web d’Apple. Ces failles, identifiées par les références CVE-2025-43529 et CVE-2025-14174, permettent à des attaquants d’exécuter du code malveillant sur les appareils des utilisateurs, simplement en visitant une page web compromise. L’urgence de la situation est soulignée par le fait que ces vulnérabilités sont déjà exploitées dans des attaques ciblées.
L’Équipe indienne d’intervention en cas d’urgence informatique (CERT-In) a tiré la sonnette d’alarme samedi, qualifiant ces attaques d’« extrêmement sophistiquées ». Apple a déjà déployé des correctifs d’urgence pour iOS, iPadOS et macOS en réponse à cette menace. La rapidité de cette réaction témoigne de la gravité de la situation.
WebKit n’est pas seulement le moteur qui alimente le navigateur Safari, mais il est également responsable du rendu de tout le contenu web sur les iPhones et iPads. Selon Apple, les vulnérabilités ont été exploitées dans le cadre d'”attaques extrêmement sophistiquées contre des individus ciblés”. Les experts en sécurité interprètent ce langage comme un indicateur probable de l’implication de pirates informatiques soutenus par des États ou de l’utilisation de logiciels espions commerciaux. L’identification d'”individues ciblés” suggère souvent l’utilisation de logiciels espions payants, fréquemment utilisés contre des journalistes, des dissidents politiques ou des représentants gouvernementaux.
Comment fonctionnent ces failles
Les vulnérabilités permettent aux attaquants de prendre le contrôle d’un appareil en exécutant du code arbitraire simplement en exposant la victime à du contenu web manipulé. Une simple visite sur un site web malveillant suffit, sans nécessiter d’interaction supplémentaire de la part de l’utilisateur.
- CVE-2025-43529 : Il s’agit d’une vulnérabilité d’utilisation après libération de mémoire dans WebKit. Ce type d’erreur se produit lorsqu’un programme tente d’accéder à une zone de mémoire qui a déjà été libérée, permettant ainsi aux attaquants de manipuler les données et d’injecter du code malveillant. Apple a corrigé ce problème en améliorant la gestion de la mémoire.
- CVE-2025-14174 : Cette vulnérabilité est une corruption de la mémoire, également activement exploitée. Il est important de noter qu’elle est liée à une vulnérabilité similaire dans la bibliothèque graphique ANGLE de Google Chrome, qui a déjà été corrigée début décembre.
La découverte de ces vulnérabilités est le fruit d’une collaboration entre l’équipe de sécurité d’Apple et le Groupe d’analyse des menaces Google (TAG), reconnu pour son travail de détection des piratages gouvernementaux et des logiciels espions commerciaux.
Alerte mondiale : mises à jour exigées aux États-Unis et en Inde
L’alerte indienne fait suite à un avertissement similaire émis par l’agence américaine de cybersécurité, la CISA. Celle-ci a déjà inscrit la vulnérabilité CVE-2025-43529 dans son catalogue des vulnérabilités exploitées connues (KEV), imposant une date limite de mise à jour obligatoire pour les agences fédérales américaines au 5 janvier 2026.
Bien que cette échéance soit juridiquement contraignante uniquement pour les autorités américaines, elle sert de référence importante pour les entreprises privées et les particuliers du monde entier. La fenêtre de temps extrêmement courte témoigne du danger immédiat. “Le fait que la CISA et CERT-In aient intensifié leurs avertissements quelques jours seulement après la publication du correctif souligne la volatilité de la menace”, ont déclaré des observateurs du secteur. “Si WebKit est vulnérable, la surface d’attaque est immense : cela affecte non seulement Safari, mais toutes les applications qui ouvrent une page web.”
Que doivent faire les utilisateurs ?
Les instructions sont claires : mettez à jour immédiatement tous vos appareils Apple. Les iPhones à partir du modèle 11, divers modèles d’iPad Pro et Air, ainsi que les Mac équipés des systèmes d’exploitation actuels sont concernés.
Apple a publié les mises à jour suivantes :
* iOS 17.2 et iPadOS 17.2 (ainsi que iOS 16.7.3 pour les appareils plus anciens)
* macOS Sonoma 14.2
* Safari 17.2 pour macOS
Pour vérifier la version de votre logiciel, rendez-vous dans Réglages > Général > Mise à jour du logiciel (iOS/iPadOS) ou Préférences Système > Général > Mise à jour du logiciel (macOS).
Ces nouvelles vulnérabilités zero-day marquent l’apogée d’une année tumultueuse pour la sécurité des navigateurs. En 2025, les moteurs de navigateur tels que WebKit et Chrome sont de plus en plus ciblés par les attaquants comme points d’entrée pour compromettre les systèmes. La nature multiplateforme de composants comme ANGLE signifie qu’une seule vulnérabilité peut potentiellement compromettre des milliards d’appareils sur différents écosystèmes. Le lien entre la vulnérabilité Chrome découverte début décembre et la faille WebKit récemment corrigée illustre les risques architecturaux partagés dans le rendu web moderne. La collaboration entre les géants de la technologie comme Apple et Google pour identifier ces menaces communes reste la ligne de défense la plus importante contre le cyberespionnage sophistiqué.
