Votre iPhone vous espionne peut-être sans que vous le sachiez. Apple vient de confirmer que deux failles critiques dans WebKit ont été activement exploitées par des attaquants avant même que Cupertino ne déploie ses correctifs [web:2][web:3]. On parle ici de vulnérabilités zero-day, ces brèches découvertes et utilisées avant qu’Apple n’ait eu le temps de réagir. Et le pire ? Elles ne nécessitent qu’un simple clic sur un lien piégé pour compromettre entièrement votre appareil [web:8].
⚡ Ce qu’il faut retenir
- Deux vulnérabilités WebKit (CVE-2025-43529 et CVE-2025-14174) exploitées dans la nature
- 150 millions d’iPhone vulnérables (30% des appareils actifs sous iOS 25 ou antérieur)
- Attaque zero-click : un simple lien dans un SMS, email ou QR code suffit
- Solution unique : mise à jour vers iOS 26.2 ou supérieur
- Tous les navigateurs iPhone sont touchés (Chrome, Firefox, Edge utilisent WebKit sur iOS)
WebKit : la faille qui touche tous les iPhone
WebKit n’est pas un composant iOS parmi d’autres. C’est le moteur de rendu web imposé par Apple à tous les navigateurs de l’App Store [web:24]. Que vous utilisiez Safari, Chrome, Firefox ou Brave, votre iPhone affiche les pages web via WebKit. Cette uniformité forcée signifie qu’une seule faille dans WebKit compromet tous les navigateurs sans exception [web:24].
Les deux vulnérabilités découvertes portent les identifiants CVE-2025-43529 et CVE-2025-14174 [web:3]. La première est un bug “use-after-free” qui permet l’exécution de code arbitraire. La seconde provoque une corruption mémoire lors du traitement de contenu web malveillant [web:24]. Apple a confirmé le 12 décembre 2025 que ces failles ont été exploitées dans des attaques extrêmement sophistiquées visant des individus spécifiques [web:3][web:8].
Comment fonctionne l’attaque
L’exploitation ne demande aucune compétence technique de la part de la victime. Un attaquant envoie un lien piégé par SMS, email ou même via un QR code [web:24]. Lorsque vous cliquez, le code malveillant s’exécute entièrement en mémoire, sans laisser de traces sur le disque [web:24]. Cette technique profite d’une habitude bien ancrée : la plupart des utilisateurs ne redémarrent jamais leur iPhone. Le malware persiste donc indéfiniment dans la RAM, invisible aux yeux de l’utilisateur moyen [web:24].
Apple confirme que ces attaques ciblaient des personnalités spécifiques : militants, journalistes, opposants politiques [web:8]. Le Google Threat Analysis Group et l’équipe Apple SEAR ont conjointement découvert ces vulnérabilités après avoir observé leur utilisation dans des campagnes de surveillance mercenaire [web:24][web:25].
150 millions d’appareils dans le viseur
Apple estime que 30% des iPhone actifs fonctionnent encore sous des versions antérieures à iOS 26 [web:24]. Cela représente plus de 150 millions d’appareils vulnérables à l’échelle mondiale [web:24]. Pourquoi ce retard massif ? Plusieurs raisons se conjuguent : incompatibilité matérielle pour certains modèles (l’iPhone 11 est le minimum pour iOS 26), réticence au changement, ou simple ignorance des risques [web:24].
Les appareils concernés incluent l’iPhone 11 et modèles ultérieurs, tous les iPad Pro, iPad Air (3ème génération et ultérieure), iPad (8ème génération et ultérieure) et iPad mini (5ème génération et ultérieure) [web:25]. Les possesseurs d’iPhone XS, XS Max et XR peuvent installer iOS 18.7.3 qui contient les correctifs [web:7][web:25].
| Vulnérabilité | Type de faille | Impact | Correctif |
|---|---|---|---|
| CVE-2025-43529 | Use-after-free (WebKit) | Exécution de code arbitraire | iOS 26.2+ |
| CVE-2025-14174 | Corruption mémoire (WebKit) | Exécution de code arbitraire | iOS 26.2+ |
La réponse d’Apple : rapide mais tardive
Apple a déployé les correctifs le 12 décembre 2025 pour iOS 26.2, iPadOS 26.2, macOS 26.2 et Safari 26.2 [web:8][web:24]. Pourtant, cette rapidité ne doit pas masquer une réalité dérangeante : les failles étaient déjà exploitées lors de la publication des correctifs [web:24]. Apple a réagi après détection d’incidents réels, pas en prévention [web:24].
Pire encore, la notification de mise à jour n’apparaît pas systématiquement sur tous les iPhone. Apple privilégie une diffusion progressive et discrète, laissant des millions d’utilisateurs vulnérables pendant des semaines [web:6]. Certains iPhone ont mis plus d’un mois à recevoir la notification d’iOS 26.2, malgré son caractère critique [web:6][web:7].
Les experts tirent la sonnette d’alarme
James Maude de BeyondTrust ne mâche pas ses mots : “Les utilisateurs doivent mettre à jour de toute urgence tous les appareils Apple concernés… Cela deviendra rapidement un exploit incontournable pour une gamme d’acteurs de menace” [web:25]. Darren Guccione de Keeper Security ajoute : “Il n’y a pas de solution de contournement ou de comportement utilisateur qui atténue significativement ce risque… installer la mise à jour est la seule défense efficace” [web:25].
La situation inquiète d’autant plus que depuis janvier 2026, Apple multiplie les alertes autour de ces vulnérabilités WebKit [web:2]. La firme de Cupertino a même admis que les systèmes plus anciens, pourtant encore largement majoritaires, ne recevront pas de protection complète contre ces logiciels espions sophistiqués [web:5].
Que faire immédiatement
La marche à suivre est simple, non négociable :
- Mettez à jour immédiatement vers iOS 26.2 ou supérieur (Réglages > Général > Mise à jour logicielle)
- Sur Mac, installez macOS 26.2 ou la dernière version de Safari 26.2
- Si vous ne pouvez pas mettre à jour tout de suite, redémarrez votre iPhone/iPad/Mac pour nettoyer la mémoire et éliminer temporairement un éventuel malware [web:8][web:24]
- Évitez de cliquer sur des liens inconnus dans les SMS, emails ou QR codes
- Activez les Améliorations de la sécurité en arrière-plan dans Réglages > Confidentialité et sécurité (disponible depuis iOS 26.1) [web:16][web:24]
Pour les administrateurs IT : priorisez le déploiement de ces correctifs au-dessus de tous les autres projets. Les vulnérabilités WebKit ne sont pas des bugs théoriques. Elles sont activement weaponisées contre vos collaborateurs à haute valeur stratégique [web:24].
Une nouvelle approche de sécurité testée
Apple travaille sur un nouveau mécanisme baptisé “Amélioration de la sécurité en arrière-plan”, introduit avec iOS 26.1 [web:16]. Ce système permet d’installer des correctifs de sécurité urgents sans mise à jour complète du système, directement en arrière-plan et sans intervention utilisateur [web:16]. Apple a d’ailleurs testé ce dispositif début janvier 2026 avec iOS 26.3(a), une mise à jour fantôme ne contenant aucune correction mais servant de test grandeur nature [web:16].
L’objectif ? Boucher massivement les failles critiques dès leur découverte, sans attendre que les utilisateurs cliquent manuellement sur “Installer” [web:16]. Car aujourd’hui, le constat est accablant : des semaines après la publication d’iOS 26.2, seuls 1,97% des iPhone l’avaient installée selon StatCounter [web:7].
Cette alerte de sécurité révèle une vérité inconfortable : même les systèmes réputés les plus sécurisés peuvent être compromis. La différence réside dans la réactivité de l’utilisateur. Tant que votre iPhone tourne sous une version antérieure à iOS 26.2, vous êtes une cible potentielle. Et cette fois, Apple le dit clairement : il n’y a pas de demi-mesure possible [web:25].