Apple a publié des mises à jour de sécurité d’urgence pour corriger une vulnérabilité zero-day qui, selon la société, a été exploitée dans des attaques ciblées et « extrêmement sophistiquées ».
« Une attaque physique peut désactiver le mode restreint USB sur un appareil verrouillé », a révélé la société dans un avis ciblant les utilisateurs d’iPhone et d’iPad.
« Apple est au courant d’un rapport selon lequel ce problème pourrait avoir été exploité dans une attaque extrêmement sophistiquée contre des individus ciblés spécifiques. »
Le mode restreint USB est une fonctionnalité de sécurité (introduite il y a près de sept ans dans iOS 11.4.1) qui empêche les accessoires USB de créer une connexion de données si l’appareil a été verrouillé pendant plus d’une heure. Cette fonctionnalité est conçue pour empêcher les logiciels médico-légaux comme Graykey et Cellebrite (couramment utilisés par les forces de l’ordre) d’extraire des données à partir d’appareils iOS verrouillés.
En novembre, Apple a introduit une autre fonctionnalité de sécurité (baptisée « redémarrage d’inactivité ») qui redémarre automatiquement les iPhones après de longs temps d’inactivité pour rechiffrer les données et les rendre plus difficiles à extraire par un logiciel médico-légal.
La vulnérabilité zero-day (suivie comme CVE-2025-24200 et signalée par Bill Marczak de Citizen Lab) corrigée aujourd’hui par Apple est un problème d’autorisation résolu dans iOS 18.3.1, iPadOS 18.3.1 et iPadOS 17.7.5 avec une gestion améliorée de l’État.
La liste des appareils impactés par ce jour zéro comprend:
- iPhone XS et modèles ultérieurs,
- iPad Pro 13 pouces, iPad Pro 12,9 pouces 3e génération et versions ultérieures, iPad Pro 11 pouces 1re génération et versions ultérieures, iPad Air 3e génération et versions ultérieures, iPad 7e génération et versions ultérieures et iPad mini 5e génération et versions ultérieures
- iPad Pro 12,9 pouces 2e génération, iPad Pro 10,5 pouces et iPad 6e génération
Même si cette vulnérabilité n’a été exploitée que dans des attaques ciblées, il est fortement conseillé d’installer immédiatement les mises à jour de sécurité d’aujourd’hui pour bloquer les tentatives d’attaque potentiellement en cours.
Bien qu’Apple n’ait pas encore fourni plus d’informations sur l’exploitation sauvage, les chercheurs en sécurité du Citizen Lab ont souvent divulgué des jours zéro utilisés dans des attaques ciblées de logiciels espions contre des personnes à haut risque, telles que des journalistes, des politiciens de l’opposition et des dissidents.
Citizen Lab a révélé deux autres jours zéro (CVE-2023-41061 et CVE-2023-41064) qu’Apple a corrigés dans des mises à jour de sécurité d’urgence en septembre 2023 et abusés dans le cadre d’une chaîne d’exploitation sans clic (baptisée BLASTPASS) pour infecter les iPhones entièrement corrigés avec le logiciel espion commercial Pegasus de NSO Group.
Le mois dernier, Apple a corrigé la première vulnérabilité zero-day de cette année (CVE-2025-24085) identifiée comme exploitée dans des attaques contre des utilisateurs d’iPhone.
En 2024, l’entreprise a corrigé six jours zéro activement exploités: le premier en janvier, deux en mars, un quatrième en mai et deux autres en novembre.
Un an auparavant, en 2023, Apple avait corrigé 20 failles zero-day exploitées à l’état sauvage, notamment:
- deux jours zéro (CVE-2023-42916 et CVE-2023-42917) en novembre
- deux jours zéro (CVE-2023-42824 et CVE-2023-5217) en octobre
- cinq jours zéro (CVE-2023-41061, CVE-2023-41064, CVE-2023-41991, CVE-2023-41992 et CVE-2023-41993) en septembre
- deux jours zéro (CVE-2023-37450 et CVE-2023-38606) en juillet
- trois jours zéro (CVE-2023 – 32434, CVE-2023-32435 et CVE-2023-32439) en juin
- trois jours zéro supplémentaires (CVE-2023-32409, CVE-2023-28204 et CVE-2023-32373) en mai
- deux jours zéro (CVE-2023-28206 et CVE-2023-28205) en avril
- et un autre jour zéro WebKit (CVE-2023-23529) en février