Et de trois ! Apple publie une série de correctifs urgents après la découverte d’une nouvelle faille zero-day exploitée dans des attaques avancées. À vos mises à jour…

Troisième faille zero-day cette année : Apple publie un correctif urgent pour iOS, macOS et Safari © LALAKA / Shutterstock
Troisième faille zero-day cette année : Apple publie un correctif urgent pour iOS, macOS et Safari © LALAKA / Shutterstock

Apple vient de publier une mise à jour de sécurité critique pour iOS, iPadOS, macOS, tvOS, visionOS et Safari. En cause, une faille zero-day exploitée dans une attaque « extrêmement sophistiquée », la troisième de l’année 2025. Estampillée CVE-2025-24201, elle permettait à un site web malveillant d’échapper aux protections de WebKit et d’exécuter du code potentiellement dangereux. Si Apple confirme que l’attaque visait des cibles précises, le patch reste vivement recommandé pour tous.

Une faille critique déjà activement exploitée

Si cette vulnérabilité est considérée comme critique, c’est parce qu’elle touche WebKit, le moteur de rendu utilisé par Safari et de nombreuses applications sur iOS et macOS. Concrètement, elle permettait à un site web malveillant d’échapper au sandboxing, mécanisme de sécurité conçu pour confiner les contenus web et empêcher leur accès aux ressources sensibles du système.

De fait, en exploitant cette faille, un attaquant pouvait contourner ces restrictions et exécuter du code malveillant sur l’appareil cible, en vue d’orchestrer des opérations d’espionnage, d’exfiltrer des données sensibles ou de mener d’autres attaques plus complexes.

Apple a confirmé que cette brèche avait déjà été exploitée dans des attaques extrêmement sophistiquées, visant des cibles précises avant d’être patchée. Un premier correctif avait alors été introduit avec iOS 17.2 pour en bloquer l’exploitation initiale, mais les pirates ont visiblement trouvé un moyen de le contourner, d’où le déploiement de cette nouvelle mise à jour de sécurité.

Dans le détail, la faille concerne un large éventail d’appareils et de systèmes, pour lesquels Apple a publié des mises à jour le 11 mars 2025 :

  • iOS 18.3.2 et iPadOS 18.3.2 : iPhone XS et modèles plus récents, iPad Pro 13 pouces, iPad Pro 12,9 pouces (3ᵉ génération et plus), iPad Pro 11 pouces (1ʳᵉ génération et plus), iPad Air (3ᵉ génération et plus), iPad (7ᵉ génération et plus), iPad mini (5ᵉ génération et plus)
  • macOS Sequoia 15.3.2 : Mac sous macOS Sequoia
  • Safari 18.3.1 : pour macOS Ventura et macOS Sonoma
  • visionOS 2.3.2 : pour le casque Apple Vision Pro
  • tvOS 18.3.1 : mise à jour pour l’Apple TV 4K (3ᵉ génération)

L’entreprise est restée floue sur le reste, et ne s'est pas étendue sur l’origine des attaques ni sur l'identité des victimes, mais insiste sur la nécessité d’installer le correctif sans tarder.

L'exploit concerne à peu près tous les appareils et systèmes Apple encore en circulation, ne tardez pas à appliquer les correctifs nécessaires © © NicoElNino / Shutterstock
L'exploit concerne à peu près tous les appareils et systèmes Apple encore en circulation, ne tardez pas à appliquer les correctifs nécessaires © © NicoElNino / Shutterstock

Des failles zero-day en série : la rançon de la gloire

Depuis le début de l’année, Apple aura donc corrigé trois failles zero-day : CVE-2025-24085 en janvier, CVE-2025-24200 en février, et CVE-2025-24201 ce mois-ci. L’an dernier, six autres avaient déjà été exploitées avant d’être patchées. Un bilan qui peut sembler modeste, mais qui traduit en réalité changement de dynamique logique.

Avec plus de deux milliards d’appareils en circulation, l’écosystème Apple est mécaniquement devenu une cible prioritaire : plus il se démocratise, plus il attire d’attaquants mieux outillés et mieux organisés.

En bref, pour se protéger, la meilleure solution reste d’installer les mises à jour dès leur publication.

Source : Apple

À découvrir
Meilleur antivirus, le comparatif en mars 2025

27 février 2025 à 09h45

Comparatifs services