Votre iPhone était peut-être une porte ouverte. Pendant des semaines, voire des mois, deux failles zero-day dans WebKit ont permis à des attaquants sophistiqués d’infiltrer des appareils Apple sans que personne ne s’en aperçoive. Pas de clic suspect, pas d’application douteuse : juste une page web piégée suffit pour compromettre votre téléphone. Apple vient de publier des correctifs d’urgence après avoir détecté des exploitations actives visant des individus spécifiques. Journalistes, activistes, opposants politiques : les profils habituels des campagnes de surveillance de haut niveau.
⚡ L’essentiel à retenir
Deux vulnérabilités zero-day (CVE-2025-43529 et CVE-2025-14174) exploitées dans des attaques réelles
WebKit compromis : tous les navigateurs iOS sont concernés, pas seulement Safari
Attaques qualifiées d’« extrêmement sophistiquées » par Apple et Google
Mise à jour impérative vers iOS 26.2, iOS 18.7.3, macOS Tahoe 26.2 et équivalents
Neuvième zero-day Apple exploité en 2025 : une année record pour Cupertino
Quand WebKit devient le talon d’Achille d’Apple
WebKit, c’est le moteur de rendu qui fait tourner Safari et l’intégralité des navigateurs sur iOS. Chrome, Firefox, Brave sur votre iPhone ? Ils utilisent tous WebKit sous le capot, imposé par les règles d’Apple. Cette architecture centralisée transforme une seule faille en vulnérabilité universelle pour tout l’écosystème iOS.
Les deux vulnérabilités découvertes appartiennent à la catégorie redoutée des « use-after-free » et « memory corruption ». Concrètement, elles permettent à du code malveillant de s’exécuter arbitrairement sur l’appareil après le traitement d’un contenu web piégé. Une simple visite sur un site compromis suffit. Aucune interaction supplémentaire requise.
Apple et le Google Threat Analysis Group ont détecté conjointement ces failles, signe d’une collaboration inhabituelle face à une menace jugée majeure. Le géant de Cupertino confirme que ces brèches ont été exploitées avant iOS 26, dans des campagnes visant « des personnes ciblées de manière spécifique ».
L’ombre de Pegasus plane à nouveau
Le mode opératoire rappelle furieusement les campagnes orchestrées par NSO Group, l’éditeur israélien du spyware Pegasus. Bien qu’Apple n’ait pas officiellement attribué ces attaques à un acteur précis, les caractéristiques correspondent : sophistication extrême, ciblage chirurgical, exploitation via le web.
Les victimes types de ce genre d’intrusions ? Des journalistes enquêtant sur des sujets sensibles, des militants des droits humains, des opposants politiques dans des régimes autoritaires. Des profils à forte valeur stratégique justifiant l’investissement dans des zero-days qui se négocient parfois plusieurs millions d’euros sur les marchés clandestins.
Apple a d’ailleurs émis plusieurs notifications de menaces cette année auprès d’utilisateurs français, les alertant sur des tentatives d’attaques par spyware sophistiqué. La France n’est pas épargnée.
Un bilan 2025 alarmant pour la sécurité Apple
Avec ces deux nouvelles failles, Apple totalise neuf vulnérabilités zero-day exploitées dans la nature en 2025. Un record qui témoigne d’une pression croissante des attaquants sur l’écosystème iOS et macOS. Les pirates investissent massivement dans les moteurs de rendu et les pipelines graphiques pour contourner les protections sandboxing.
CVE
Composant
Impact
Exploitation
CVE-2025-43529
WebKit
Use-after-free permettant l’exécution de code arbitraire
✓ Confirmée
CVE-2025-14174
WebKit (ANGLE)
Corruption mémoire hors limites (out-of-bounds)
✓ Confirmée
La seconde vulnérabilité, CVE-2025-14174, touche également Google Chrome via le projet ANGLE, utilisé pour traduire des commandes WebGL. Google a lui aussi publié un correctif d’urgence, illustrant l’interconnexion des écosystèmes et la diffusion rapide des menaces entre plateformes.
Qui est vraiment exposé ?
Apple a déployé des correctifs sur l’ensemble de son parc logiciel : iOS, iPadOS, macOS, watchOS, tvOS, visionOS et Safari. Les versions concernées couvrent un périmètre massif : iPhone 11 et modèles ultérieurs, iPad Pro (toutes générations récentes), iPad Air à partir de la troisième génération, iPad standard depuis la huitième génération, iPad mini depuis la cinquième génération.
En clair, la quasi-totalité des appareils Apple encore en circulation active sont potentiellement vulnérables si les mises à jour n’ont pas été installées. On parle de 1,8 milliard d’utilisateurs iPhone dans le monde. Même si les attaques détectées visaient des cibles précises, l’existence publique de ces failles augmente mécaniquement le risque d’exploitation à plus large échelle.
Les versions patchées à installer immédiatement : iOS 26.2, iOS 18.7.3, iPadOS 26.2, iPadOS 18.7.3, macOS Tahoe 26.2, Safari 26.2, watchOS 26.2, tvOS 26.2, visionOS 26.2. Aucune raison de reporter cette mise à jour.
Comment se protéger concrètement
Première action : vérifier que vos appareils ont installé les dernières mises à jour de sécurité. Sur iPhone ou iPad, rendez-vous dans Réglages > Général > Mise à jour logicielle. Sur Mac, Réglages Système > Général > Mise à jour de logiciels.
Activer les mises à jour automatiques reste la meilleure protection passive. Apple déploie souvent des correctifs critiques en quelques heures, mais leur efficacité dépend de l’installation côté utilisateur. Les attaquants exploitent précisément ce délai entre la publication du patch et son application généralisée.
Pour les profils à risque élevé (journalistes, défenseurs des droits humains, opposants politiques), Apple propose le « mode de verrouillage » depuis iOS 16. Cette fonction désactive certaines fonctionnalités avancées pour réduire drastiquement la surface d’attaque. Navigation web limitée, pièces jointes bloquées, connexions filaires désactivées par défaut. Un bouclier drastique mais efficace contre les spywares sophistiqués.
Apple face à une escalade permanente
Cette avalanche de zero-days en 2025 révèle une réalité dérangeante : la course entre attaquants et défenseurs s’intensifie. Les budgets investis dans la découverte de vulnérabilités iOS explosent, portés par des États, des agences de renseignement et des mercenaires numériques.
Apple communique avec parcimonie sur ces incidents. La formule « attaque extrêmement sophistiquée » apparaît systématiquement dans les bulletins de sécurité liés à des exploitations avérées. Un langage qui trahit à la fois la gravité technique et la volonté de ne pas affoler le grand public.
Pourtant, chaque faille zero-day exploitée érode un peu plus le sentiment de sécurité qui entoure l’écosystème Apple. La marque à la pomme a bâti sa réputation sur la confidentialité et la protection des données utilisateur. Neuf brèches en un an posent la question de la soutenabilité de cette promesse face à des adversaires disposant de ressources quasi illimitées.
La transparence progressive d’Apple sur ces incidents est néanmoins un progrès. Alerter les utilisateurs ciblés, documenter les vulnérabilités, collaborer avec Google : autant de signaux d’une prise de conscience sérieuse. Reste que la meilleure défense demeure une mise à jour immédiate. Les exploits ne disparaissent pas, ils se diffusent.
Sources
Apple Support – À propos des correctifs de sécurité d’iOS 26.2 et d’iPadOS 26.2
MacGeneration – Sécurité : Apple comble deux failles zero-day
Fox News – Apple patches two zero-day flaws used in targeted attacks
SOC Prime – CVE-2025-14174 Vulnerability Analysis
eSecurity Planet – Apple Zero-Day Exploits Used in Targeted iPhone Spyware Attacks
Bonjour ! Je suis Yves, un passionné de technologie et du web, âgé de 35 ans. J'adore explorer les innovations numérique et partager mes connaissances avec autrui. Mon objectif est d'aider chacun à naviguer dans l'univers digital avec aisance. Bienvenue sur mon site !
Nous utilisons des cookies pour vous garantir la meilleure expérience sur notre site web. Si vous continuez à utiliser ce site, nous supposerons que vous en êtes satisfait.
