Avertissement concernant une vulnérabilité de sécurité très dangereuse dans les produits Apple

Cette faille de sécurité peut être exploitée par des pirates informatiques pour exécuter du code malveillant à distance, potentiellement pour voler des données ou prendre le contrôle de l'appareil d'un utilisateur. Apple recommande à tous les utilisateurs de mettre à jour immédiatement leurs logiciels afin de protéger leurs appareils contre les cybermenaces.

Apple a fourni plus de détails sur une vulnérabilité de sécurité critique attribuée CVE-2025-24201, qui affecte WebKit – le moteur qui alimente le navigateur Safari et de nombreuses autres applications.

Selon Apple, les pirates peuvent exploiter cette vulnérabilité pour créer des sites Web ou du contenu Web malveillants afin de contourner l'important mécanisme de sécurité qui permet d'isoler les processus de navigation Web (Web Content Sandbox).

Si cette faille est exploitée avec succès, les pirates pourraient accéder à d’autres zones du système, leur permettant d’effectuer des actions malveillantes telles que le vol de données ou l’installation de logiciels malveillants.

Dans son annonce officielle, Apple a souligné : « Il s'agit d'un correctif supplémentaire pour une attaque bloquée dans la version 17.2 d'iOS. Nous avons reçu des rapports indiquant que cette vulnérabilité pourrait avoir été exploitée dans une attaque ciblée très sophistiquée contre des utilisateurs de versions antérieures à iOS 17.2. »

La vulnérabilité, CVE-2025-24201, est une faille de sécurité d'« écriture hors limites », ce qui signifie que des données peuvent être écrites dans une zone mémoire inconnue, provoquant un plantage du système ou permettant à un attaquant d'exécuter du code malveillant à distance. Apple a corrigé ce problème en améliorant les vérifications de mémoire afin d'empêcher toute action non autorisée.

Il n'existe actuellement aucune preuve officielle reliant cette attaque à un groupe de pirates informatiques. Cependant, par le passé, des attaques sophistiquées ciblant des individus spécifiques ont souvent fait appel à des logiciels espions sophistiqués, tels que Pegasus de l'entreprise israélienne NSO Group.

Le correctif de sécurité est désormais disponible pour plusieurs appareils Apple, dont l'iPhone XS et les modèles ultérieurs, les Mac, les iPad, les Apple TV, les Apple Watch et les appareils Vision Pro. La vulnérabilité affecte toutes les versions récentes du système d'exploitation publiées avant le 11 mars 2025.

Il est recommandé aux utilisateurs de mettre à jour immédiatement vers les dernières versions, notamment visionOS 2.3.2, iOS 18.3.2, iPadOS 18.3.2, macOS Sequoia 15.3.2 et Safari 18.3.1.

C'est également la troisième fois en 2025 qu'Apple publie un correctif de sécurité d'urgence pour plusieurs appareils en même temps, montrant la gravité de la vulnérabilité et les efforts de l'entreprise pour protéger les utilisateurs contre les menaces de cybersécurité.