Apple corrige les anciens iPhones contre les attaques sophistiquées

Apple propose cette semaine une série de mises à jour pour l'ensemble de sa gamme de produits afin de corriger des dizaines de failles de sécurité importantes, dont certaines sont déjà exploitées par des criminels.

iOS 18.4 apporte une série d'améliorations dans des domaines tels que Image Playground et Applew News+, de nouveaux emojis et des améliorations pour mieux organiser et filtrer votre bibliothèque Photos.

La version comprend également les dernières modifications de sécurité - une soixantaine de correctifs dans des composants clés comme Accessibilité, Comptes, AirDrop, Services d'authentification, CoreMedia, MobileLockdown, Safari, Siri et WebKit.

D'autres produits Apple, tels que les Mac, le centre multimédia AppleTV et le casque Apple Vision, partagent un grand nombre de ces composants, de sorte que les correctifs sont également disponibles pour ces produits.

Mais les mises à jour les plus importantes sont peut-être celles qui concernent les anciens appareils Apple.

Attaques extrêmement sophistiquées

La longue liste de correctifs de sécurité de cette semaine s'étend à des appareils tels que l'iPhone 6, l'iPhone 7, l'iPhone 8, l'iPhone X et les iPads d'ancienne génération. La raison ? Apple rétroporte d'importants correctifs de sécurité - déjà déployés sur les produits de nouvelle génération - afin de protéger les utilisateurs qui utilisent encore du matériel ancien.

iOS 16.7.11 et iOS 15.8.4 corrigent deux vulnérabilités distinctes qui, selon le géant technologique de Cupertino, ont probablement été utilisées dans des attaques sophistiquées contre des personnes ciblées.

Répertoriée sous le nom de CVE-2025-24200, une faille d'accessibilité peut être exploitée dans le cadre d'une « attaque physique [pour] désactiver le mode restreint USB sur un appareil verrouillé ».

Apple a introduit le mode USB restreint en 2018 en tant que couche de sécurité supplémentaire empêchant l'accès par câble au contenu d'un iPhone si l'appareil n'a pas été déverrouillé et connecté par câble au cours de l'heure écoulée.

La fonctionnalité, considérée comme un coup contre l'abus d'outils de criminalistique numérique, a été conçue pour empêcher l'extraction de données en dehors des objectifs d'application de la loi.

Selon les défenseurs anti logiciels espions du Citizen Lab, qui ont signalé le problème à Apple, les utilisateurs ont trouvé des moyens de contourner la restriction.

« Apple a connaissance d'un rapport selon lequel ce problème pourrait avoir été exploité dans le cadre d'une attaque extrêmement sophistiquée contre des personnes ciblées », peut-on lire dans l'avis d'Apple.

La seconde faille, répertoriée sous le nom de CVE-2025-24201 et découverte par l'équipe de sécurité d'Apple, est une faiblesse de WebKit permettant à un attaquant d'utiliser un « contenu web malicieusement conçu » pour compromettre la victime.

« Il s'agit d'un correctif supplémentaire pour une attaque qui a été bloquée dans iOS 17.2 », note Apple.

« Apple a connaissance d'un rapport selon lequel ce problème pourrait avoir été exploité dans le cadre d'une attaque extrêmement sophistiquée contre des personnes ciblées sur des versions d'iOS antérieures à iOS 17.2 », prévient l'entreprise.

Cette faille de sécurité particulière a déjà été corrigée sur les iPhones et iPads de nouvelle génération (avec la sortie d'iOS 18.3.2 le mois dernier).

Apple a signalé le problème à tous les acteurs du secteur dont les logiciels s'appuient sur WebKit pour afficher le contenu web. À la suite de l'avertissement d'Apple, Google a immédiatement publié un correctif d'urgence pour la version macOS de Chrome.

Un troisième correctif rétroporté

Une troisième faille de sécurité, qui aurait également été exploitée par des pirates, est corrigée sur les anciens modèles d'iPad fonctionnant sous iOS 17.

Répertoriée sous le nom de CVE-2025-24085, cette vulnérabilité CoreMedia a été corrigée depuis un certain temps sur le matériel fonctionnant sous iOS 18. Toutefois, Apple continue d'avertir avec diligence qu'elle est « au courant d'un rapport selon lequel ce problème pourrait avoir été activement exploité contre des versions d'iOS antérieures à iOS 17.2 ».

Les utilisateurs d'iPad qui utilisent encore iOS 17 ont tout intérêt à mettre à jour leur appareil dès maintenant. Si c'est votre cas, assurez-vous que votre tablette Apple est équipée d'iPadOS 17.7.6 à partir d'aujourd'hui.

Apportez des correctifs à votre matériel Apple

Les attaques « sophistiquées » exploitant les lacunes des logiciels Apple ont toujours impliqué des logiciels espions. Les attaquants ciblent des personnes à haut risque comme les activistes, les dissidents, les adversaires politiques, les défenseurs des droits de l'homme et les journalistes d'investigation. Toutefois, on ne peut jamais savoir si l'on ne risque pas de déclencher accidentellement un fil et de devenir une cible. C'est pourquoi il est toujours bon de mettre à jour ses appareils personnels avec les dernières mises à jour de sécurité.

Comme nous l'indiquons dans notre guide de sécurité pour les utilisateurs d'iPhone, le proverbial jardin clos d'Apple a longtemps été loué pour sa sécurité robuste, grâce à un écosystème étroitement contrôlé, à un processus strict d'examen des applications et à des correctifs logiciels apportés en temps voulu. Pourtant, les cybermenaces avancées ciblant les utilisateurs d'Apple - en particulier les utilisateurs d'iPhone - persistent.

A partir d'aujourd'hui, les utilisateurs d'Apple devront disposer des versions logicielles suivantes :

• iOS 18.4 et iPadOS 18.4
• iPadOS 17.7.6
• iOS 16.7.11 et iPadOS 16.7.11
• iOS 15.8.4 et iPadOS 15.8.4
• macOS Sequoia 15.4
• macOS Sonoma 14.7.5
• macOS Ventura 13.7.5
• tvOS 18.4
• visionOS 2.4
• Safari 18.4

Pour une plus grande tranquillité d'esprit, utilisez une solution de sécurité dédiée sur tous vos appareils personnels. Sur iOS et macOS, n'oubliez pas de garder à portée de main le mode verrouillage si vous avez des raisons de penser que des pirates informatiques vous ciblent.