Votre iPhone vous espionne peut-être sans que vous le sachiez. Deux vulnérabilités zero-day dans WebKit ont été activement exploitées par des attaquants sophistiqués avant qu’Apple ne réagisse en urgence. Le 12 décembre 2025, Cupertino a publié des correctifs de sécurité pour iOS 26.2, macOS 26.2 et Safari 26.2, confirmant que des campagnes d’espionnage mercenaire ciblaient déjà des utilisateurs. Ce n’est pas une simple faille technique abstraite : c’est une fenêtre ouverte sur votre vie privée, vos photos, votre localisation et vos mots de passe.
⚡ L’essentiel à retenir
CVE-2025-43529 et CVE-2025-14174 : deux failles WebKit exploitées activement
150 millions d’appareils potentiellement vulnérables (30% des iPhone actifs)
Exploitation via contenu web malveillant : pas besoin d’installer d’app
Mise à jour impérative : iOS 26.2, macOS 26.2, Safari 26.2
Découvertes par le Google Threat Analysis Group et Apple SEAR
WebKit : la porte dérobée invisible de votre iPhone
WebKit n’est pas simplement le moteur de Safari. C’est le cœur battant de toutes les applications iOS capables d’afficher du contenu web. Chrome sur iPhone ? WebKit. Firefox sur iPad ? WebKit aussi. Même Apple Mail utilise WebKit pour rendre vos emails en HTML. Cette omniprésence transforme chaque faille en catastrophe systémique.
La première vulnérabilité, CVE-2025-43529, est un bug “use-after-free” classique mais dévastateur. Elle permet à un attaquant d’exécuter du code arbitraire sur votre appareil simplement en vous faisant visiter une page web piégée. La seconde, CVE-2025-14174 avec un score CVSS de 8.8, provoque une corruption de mémoire lors du traitement de contenu web malveillant. Apple a confirmé que ces failles ont été exploitées dans des attaques extrêmement sophistiquées visant des individus spécifiques avant iOS 26.
Un espionnage mercenaire hors norme
Le Google Threat Analysis Group ne s’intéresse pas aux pirates du dimanche. Quand cette équipe détecte une exploitation active, cela signifie que des acteurs étatiques ou des sociétés de surveillance commerciale ont déjà déployé l’arme. Les cibles typiques ? Journalistes, diplomates, dirigeants d’entreprise, militants des droits humains. Des profils à haute valeur ajoutée pour l’espionnage.
L’attaque ne nécessite aucune interaction complexe de votre part. Un simple clic sur un lien dans un SMS, un email HTML affiché automatiquement dans Mail, ou même un QR code scanné peut suffire. Le malware s’exécute entièrement en mémoire, sans laisser de traces sur le disque, comptant sur le fait que la plupart des utilisateurs ne redémarrent jamais leur iPhone. Un redémarrage nettoie la mémoire vive et élimine temporairement la menace — mais ne corrige pas la faille.
Vulnérabilité
Type
Impact
Vecteur d’attaque
CVE-2025-43529
Use-after-free (WebKit)
Exécution de code arbitraire
Contenu web malveillant
CVE-2025-14174
Corruption mémoire (ANGLE Metal)
Exécution de code à distance (RCE)
Page web, email HTML
L’angle Chrome : une faille partagée entre écosystèmes
Détail troublant : CVE-2025-14174 affecte également Google Chrome. La faille réside dans la bibliothèque ANGLE (Almost Native Graphics Layer Engine) utilisée pour traduire les appels OpenGL en Metal sur macOS et iOS. Google a publié son correctif le 10 décembre 2025, deux jours avant Apple. Cette synchronisation révèle une coordination entre les deux géants face à une menace commune, probablement détectée lors d’incidents réels sur le terrain.
Pour les utilisateurs d’iPhone, cette interconnexion n’a qu’une seule signification pratique : tous les navigateurs sont vulnérables, sans exception. L’App Store d’Apple impose que Chrome, Edge, Firefox et Brave utilisent WebKit sous iOS, transformant votre choix de navigateur en simple changement d’interface graphique. La sécurité reste identique, et la faille aussi.
150 millions d’appareils dans le viseur
Apple estime que 30% des iPhone actifs fonctionnent encore sous des versions antérieures à iOS 26. Cela représente plus de 150 millions d’appareils vulnérables à l’échelle mondiale. Pourquoi ce retard massif ? Incompatibilité matérielle pour certains (iPhone 11 est le modèle minimum pour iOS 26), réticence au changement pour d’autres, ou simple ignorance des risques.
Le problème dépasse les particuliers. Les environnements d’entreprise mettent souvent des semaines à valider et déployer une mise à jour majeure d’OS. Pendant ce temps, les appareils de collaborateurs stratégiques restent exposés à des attaques ciblées. Un cadre dirigeant ouvrant un PDF piégé reçu par email peut compromettre tout le réseau corporate via son iPhone professionnel.
La réponse d’Apple : rapide mais tardive
Apple a déployé les correctifs le 12 décembre 2025 pour iOS 26.2, iPadOS 26.2, macOS 26.2 et Safari 26.2. Pour les utilisateurs sous macOS Sonoma et Sequoia (versions plus anciennes), une mise à jour standalone de Safari a été publiée. L’entreprise a également recommandé aux utilisateurs incapables d’installer immédiatement la mise à jour de redémarrer leur appareil comme mesure de mitigation temporaire, éliminant ainsi le malware en mémoire vive.
Mais cette rapidité ne doit pas masquer une réalité dérangeante : les failles étaient déjà exploitées lors de la publication des correctifs. Apple a réagi après détection d’incidents réels, pas en prévention. Le Google Threat Analysis Group et l’équipe Apple SEAR ont signalé les vulnérabilités après avoir observé leur utilisation dans des campagnes actives. Combien de victimes avant l’alerte ? Apple ne communique jamais sur ces chiffres.
Que faire maintenant ?
La marche à suivre est simple, non négociable :
Mettez à jour immédiatement vers iOS 26.2 ou supérieur (Réglages > Général > Mise à jour logicielle)
Sur Mac, installez macOS 26.2 ou la dernière version de Safari 26.2
Si vous ne pouvez pas mettre à jour tout de suite, redémarrez votre iPhone/iPad/Mac pour nettoyer la mémoire
Évitez de cliquer sur des liens inconnus dans les SMS, emails ou QR codes
Activez les Améliorations de la sécurité en arrière-plan dans iOS 26.1+ pour recevoir des patches rapides sans mise à jour complète
Pour les administrateurs IT : priorisez le déploiement de ces correctifs au-dessus de tous les autres projets. Les vulnérabilités WebKit ne sont pas des bugs théoriques. Elles sont activement weaponisées contre vos collaborateurs à haute valeur stratégique, et le coût d’une compromission dépasse largement celui d’une interruption planifiée pour mise à jour.
Une leçon systémique sur la monoculture logicielle
Cette crise rappelle brutalement les dangers de la monoculture imposée par Apple. En forçant tous les navigateurs iOS à utiliser WebKit, Cupertino a créé un point de défaillance unique pour l’ensemble de l’écosystème mobile. Une seule faille dans WebKit compromet instantanément Safari, Chrome, Firefox, Edge et toutes les applications tierces affichant du contenu web.
L’Union Européenne a récemment contraint Apple à autoriser les moteurs de rendu alternatifs sur iOS via le Digital Markets Act. Cette décision, initialement perçue comme une victoire pour la concurrence, devient rétrospectivement un impératif de sécurité. Diversifier les moteurs de rendu fragmenterait la surface d’attaque et limiterait l’impact des futures vulnérabilités.
Bonjour ! Je suis Yves, un passionné de technologie et du web, âgé de 35 ans. J'adore explorer les innovations numérique et partager mes connaissances avec autrui. Mon objectif est d'aider chacun à naviguer dans l'univers digital avec aisance. Bienvenue sur mon site !
Nous utilisons des cookies pour vous garantir la meilleure expérience sur notre site web. Si vous continuez à utiliser ce site, nous supposerons que vous en êtes satisfait.
