Votre iPhone est une forteresse. Du moins, c’est ce qu’on aime croire. Sauf que le 12 décembre dernier, Apple a discrètement admis que deux brèches majeures avaient été exploitées dans la nature, visant des individus spécifiques lors d’attaques extrêmement sophistiquées. Pas de quoi paniquer, mais largement de quoi installer iOS 26.2 immédiatement. Car cette mise à jour ne se contente pas de corriger quelques bugs agaçants : elle bouche 26 failles de sécurité, dont certaines auraient pu transformer votre téléphone en mouchard involontaire.
⚡ L’essentiel à retenir
26 failles de sécurité corrigées dans iOS 26.2
2 vulnérabilités zero-day déjà exploitées par des hackers
WebKit (moteur de Safari) particulièrement touché
Failles dans Messages, Photos, FaceTime et bien d’autres composants
Mise à jour urgente recommandée pour tous les iPhone 11 et modèles ultérieurs
Les deux failles zero-day qui inquiètent vraiment
Un zero-day, c’est le cauchemar de tout éditeur de logiciel : une faille exploitée avant même qu’un correctif existe. Apple a confirmé que deux vulnérabilités de ce type ont été actives dans iOS 26.2. CVE-2025-43529 et CVE-2025-14174 touchent toutes deux WebKit, le moteur qui propulse Safari et, sur iPhone, tous les navigateurs sans exception. Chrome, Firefox, Edge : sur iOS, ils utilisent tous WebKit sous le capot. Une seule page web piégée suffisait à déclencher l’attaque.
La première faille permettait l’exécution de code arbitraire grâce à une mauvaise gestion de la mémoire. Autrement dit, un attaquant pouvait prendre le contrôle partiel de votre appareil simplement en vous faisant visiter un site malveillant. La seconde concernait une corruption de la mémoire avec des conséquences similaires. Apple précise que ces vulnérabilités ont été exploitées dans des attaques ciblées visant des personnes spécifiques, probablement des journalistes, des activistes ou des personnalités sensibles. Le Threat Analysis Group de Google a participé à leur découverte, signe de leur gravité.
Un catalogue inquiétant de vulnérabilités
Au-delà des deux zero-days, iOS 26.2 s’attaque à un véritable festival de failles touchant presque tous les recoins du système. Messages, l’app que vous utilisez quotidiennement, souffrait d’un problème de divulgation d’informations permettant à une application malveillante d’accéder à vos conversations. La chercheuse Rosyna Keller, qui a découvert plusieurs de ces bugs, qualifie celui-ci de “fuite de confidentialité majeure”.
Photos n’était pas en reste : vos images masquées, censées être protégées, pouvaient être consultées sans authentification. FaceTime présentait une faille d’usurpation d’identifiant d’appelant et exposait accidentellement les champs de mot de passe lors du contrôle à distance. Temps d’écran laissait fuir l’historique Safari. Le noyau iOS lui-même comportait une vulnérabilité permettant à une app d’obtenir des privilèges root, soit un contrôle quasi-total de l’appareil.
Composant touché
Type de risque
Gravité
WebKit (2 failles zero-day)
Exécution de code arbitraire
Critique
Messages
Accès aux données sensibles
Élevée
Photos
Accès aux photos masquées
Élevée
Kernel
Privilèges root
Critique
FaceTime
Usurpation d’identité + exposition mots de passe
Élevée
App Store
Accès aux jetons de paiement
Élevée
Une stratégie de déploiement qui sème la confusion
Apple a créé un véritable casse-tête pour ses utilisateurs. La marque a déployé simultanément iOS 26.2 et iOS 18.7.3, deux versions censées corriger les mêmes failles critiques. Le problème ? De nombreux utilisateurs qui ont volontairement choisi de rester sur iOS 18 ne peuvent tout simplement pas accéder à la mise à jour iOS 18.7.3. Leur seule option : migrer vers iOS 26.2.
Cette approche force la main aux utilisateurs qui préféraient attendre avant de basculer vers la nouvelle version majeure. Apple semble vouloir accélérer l’adoption d’iOS 26, quitte à laisser certains utilisateurs dans une zone grise inconfortable. Une décision qui interroge sur les priorités de Cupertino en matière de sécurité versus stratégie commerciale.
WebKit dans le viseur, encore et toujours
Sur les 26 failles corrigées, pas moins de sept concernent WebKit. C’est devenu une habitude chez Apple : le moteur de rendu web est régulièrement la cible privilégiée des attaquants. Confusion de types, utilisation ultérieure libre, corruption de mémoire, dépassement de buffer… le catalogue est riche. Plusieurs chercheurs en sécurité ont contribué à leur découverte, dont le célèbre Hossein Lotfi du Zero Day Initiative de Trend Micro et Big Sleep de Google.
Quatre de ces failles pouvaient provoquer un blocage de Safari. Trois autres permettaient une exécution de code malveillant ou une corruption mémoire. Apple a réagi en durcissant la gestion mémoire et en ajoutant des contrôles supplémentaires, sans livrer de détails techniques qui pourraient servir de mode d’emploi aux pirates.
Les autres composants dans la tourmente
L’App Store n’était pas épargné : une app pouvait accéder à des jetons de paiement sécurisés, potentiellement pour effectuer des achats frauduleux. Foundation, le framework de base d’iOS, permettait à une application d’accéder de manière inappropriée à des fichiers via l’API de vérification orthographique. Oui, vous avez bien lu : le correcteur orthographique était une porte d’entrée.
Multi-Touch présentait une vulnérabilité liée aux périphériques HID malveillants. Telephony laissait fuir des données sensibles. Même les icônes d’apps pouvaient révéler quelles applications vous aviez installées, compromettant votre confidentialité. Apple a résolu ces problèmes par des restrictions supplémentaires, une meilleure validation des entrées et un masquage amélioré des données sensibles.
Que faire maintenant ?
La réponse est simple et sans appel : installez iOS 26.2 immédiatement. Allez dans Réglages > Général > Mise à jour logicielle et lancez le téléchargement. La mise à jour est compatible avec tous les iPhone 11 et modèles ultérieurs, ainsi que les iPad Pro, iPad Air, iPad classique et iPad mini des générations récentes.
Avec iOS 26.1, Apple a réintroduit les Améliorations de la sécurité en arrière-plan, permettant d’installer certains correctifs sans redémarrage complet. Mais pour iOS 26.2, un redémarrage traditionnel reste nécessaire. Le téléchargement pèse entre 500 Mo et 1 Go selon votre modèle. Prévoyez une dizaine de minutes pour l’installation complète.
Apple rappelle qu’elle ne divulgue jamais les détails techniques des failles tant que la majorité des utilisateurs n’a pas installé les correctifs. Une politique de divulgation responsable qui vise à protéger le plus grand nombre avant que les pirates ne mettent la main sur les informations permettant de reproduire les attaques.
Au-delà de la sécurité
iOS 26.2 n’apporte pas que des correctifs. La mise à jour étend le support de la traduction en direct avec les AirPods aux utilisateurs européens, améliore Apple Music avec les paroles hors ligne, introduit un système de codes temporaires pour AirDrop, et peaufine l’expérience Liquid Glass. Mais soyons honnêtes : ces ajouts passent au second plan face à l’urgence sécuritaire.
Les forums regorgent déjà de témoignages d’utilisateurs ayant rencontré des difficultés avec certaines nouvelles fonctionnalités, notamment la gestion des alertes verrouillées. Apple devra probablement publier une version 26.2.1 dans les semaines qui viennent pour affiner ces détails. Mais pour l’instant, la priorité absolue reste votre sécurité.
Nous utilisons des cookies pour vous garantir la meilleure expérience sur notre site web. Si vous continuez à utiliser ce site, nous supposerons que vous en êtes satisfait.
