Apple a confirmé l'existence d'une faille zero-day activement exploitée sur de nombreux iPhone et iPad. Le correctif est déjà disponible et doit être appliqué sans attendre.
Apple vient de publier une mise à jour de sécurité pour corriger une vulnérabilité zero-day exploitée dans une attaque « extrêmement sophistiquée » et ciblée, au moins. Référencée CVE-2025-24200, cette faille permettait de désactiver l’une des mesures de sécurité clés des iPhone et des iPad, exposant certains utilisateurs et utilisatrices à des risques d’intrusion critiques.
Une faille critique qui contournait le mode USB restreint
Le problème en question concernait le mode USB restreint, une fonctionnalité de sécurité introduite avec iOS 11.4.1 pour empêcher les connexions non autorisées via le port Lightning ou USB-C après une heure d’inactivité. Conçue pour limiter l’exploitation de logiciels d’analyse forensique comme GrayKey et Cellebrite, il s’avère que cette protection pouvait en fait être désactivée par un attaquant disposant d’un accès physique à l’appareil.
Bill Marczak, chercheur chez Citizen Lab à qui l'on doit la découverte, a identifié cette vulnérabilité comme ayant été utilisée dans une attaque ciblée, sans donner plus de détails concernant les acteurs impliqués. Prévenue en amont de sa divulgation, Apple a confirmé la forte probabilité d’une exploitation active contre des personnes spécifiques, et rapidement déployé un correctif destiné à améliorer la gestion des autorisations dans les dernières mises à jour d’iOS et d’iPadOS.
Dans le détail, la faille concernait les iPhones XS et modèles ultérieurs, ainsi que plusieurs générations d’iPads, notamment les iPad Pro 13 pouces, iPad Pro 12,9 pouces 3e génération et versions ultérieures, iPad Pro 11 pouces 1re génération et versions ultérieures, iPad Air 3e génération et versions ultérieures, iPad 7e génération et versions ultérieures, et iPad mini 5e génération et versions ultérieures.
Un écosystème toujours sécurisé, mais de plus en plus ciblé
Le correctif est disponible depuis le 10 février 2025 via iOS 18.3.1 et iPadOS 18.3.1, et il est évidemment plus que chaudement recommandé de ne pas attendre pour l’appliquer. Rendez-vous donc immédiatement dans les Réglages > Général > Mise à jour logicielle.
En dehors de cette manipulation d’urgence, n’oubliez que la sécurité de vos iPhone et de vos iPad dépend aussi, et surtout, de vos bonnes pratiques d’utilisation. De manière générale, contrôlez que le mode USB restreint est bien activé dans les paramètres de votre appareil, privilégiez un code alphanumérique plutôt qu’un simple code PIN, activez la suppression automatique des données après dix tentatives de déverrouillage consécutives et infructueuses, et ne pluguez jamais de câbles USB-C ou Lightning prêtés par des tiers.
Car si les appareils Apple sont réputés pour la solidité de leurs mesures de sécurité intégrées, ils ne sont pas non plus infaillibles face à des acteurs malveillants motivés et bien équipés. En 2024, l’entreprise avait ainsi corrigé six failles zero-day activement exploitées, témoignant de la pression constante exercée sur la sécurité d’iOS, tandis qu’en janvier dernier, elle confirmait la présence de deux vulnérabilités critiques dans ses puces Apple Silicon.
Sources : Apple, Bleeping Computer
06 février 2025 à 09h45
