iOS 26.3 corrige une faille de sécurité importante exploitée dans des attaques ciblées

Apple a publié une mise à jour de sécurité importante corrigeant une vulnérabilité zero-day exploitée par des pirates informatiques dans le cadre d'attaques ciblées.

Apple a mis à jour l'ensemble de sa gamme de produits cette semaine, en déployant de nouvelles versions d'iOS, iPadOS, macOS, tvOS, watchOS et visionOS.

Comme à son habitude, le géant technologique de Cupertino a profité de l'occasion pour corriger plusieurs vulnérabilités récemment découvertes par des chercheurs en sécurité, notamment une faille grave qui aurait été exploitée par des pirates informatiques.

« Attaque extrêmement sophistiquée »

La vulnérabilité, référencée sous le nom CVE-2026-20700, est un problème de corruption de mémoire dans Dynamic Link Editor (dyld), un composant chargé de charger, de lier et de préparer les bibliothèques dynamiques (dylibs) et les frameworks au moment de l'exécution, avant qu'une application n'exécute sa fonction principale.

« Un attaquant disposant d'une capacité d'écriture en mémoire pourrait être en mesure d'exécuter du code arbitraire », selon l'avis. « Apple a pris connaissance d'un rapport indiquant que ce problème aurait pu être exploité dans le cadre d'une attaque extrêmement sophistiquée visant des personnes spécifiques sur des versions d'iOS antérieures à iOS 26. »

Le problème a probablement été exploité dans le cadre d'une chaîne d'exploits tirant parti de deux autres problèmes (référencés sous les numéros CVE-2025-14174 et CVE-2025-43529), dans laquelle les attaquants combinent plusieurs vulnérabilités séquentielles et interdépendantes pour obtenir une compromission plus profonde et plus complète qu'un seul exploit ne l'aurait permis.

Il est fortement recommandé aux utilisateurs d'iPhone et d'iPad fonctionnant sous iOS 26 d'appliquer les mises à jour de cette semaine, pour plus de tranquillité d'esprit.

La faille, découverte et signalée par le groupe d'analyse des menaces (TAG) de Google, est également corrigée sur macOS Tahoe, tvOS, watchOS et visionOS.

Il convient de noter que CVE-2026-20700 est la première vulnérabilité zero-day corrigée par Apple cette année.

Des dizaines d'autres problèmes corrigés à tous les niveaux

En plus de corriger cette faille grave, Apple a corrigé des dizaines d'autres failles de sécurité sur l'ensemble de sa gamme de produits.

À partir de cette semaine, les utilisateurs Apple doivent disposer des versions logicielles suivantes :

iOS 26.3 et iPadOS 26.3 – disponibles pour l'iPhone 11 et les modèles ultérieurs, l'iPad Pro 12,9 pouces de 3e génération et les modèles ultérieurs, l'iPad Pro 11 pouces de 1re génération et les modèles ultérieurs, l'iPad Air de 3e génération et les modèles ultérieurs, l'iPad de 8e génération et les modèles ultérieurs, et l'iPad mini de 5e génération et les modèles ultérieurs.

iOS 18.7.5 et iPadOS 18.7.5 – disponibles pour l'iPhone XS, l'iPhone XS Max, l'iPhone XR et l'iPad 7e génération.

macOS Tahoe 26.3 – disponible pour les Mac fonctionnant sous macOS Tahoe.

macOS Sequoia 15.7.4 – disponible pour les Mac fonctionnant sous macOS Sequoia.

macOS Sonoma 14.8.4 – disponible pour les Mac fonctionnant sous macOS Sonoma

tvOS 26.3 – disponible pour Apple TV HD et Apple TV 4K (tous les modèles)

watchOS 26.3 – disponible pour Apple Watch Series 6 et modèles ultérieurs

visionOS 26.3 – disponible pour Apple Vision Pro (tous les modèles)

Safari 26.3 – pour les utilisateurs Mac qui reportent la mise à jour complète du système d'exploitation

iOS 26.3 vous permet de limiter la collecte de données de localisation

iOS 26.3 comprend également une amélioration de la confidentialité, offrant aux utilisateurs une fonctionnalité appelée « Limiter la localisation précise », qui permet de limiter la collecte de données de localisation précises par les réseaux cellulaires.

« Les réseaux cellulaires peuvent déterminer votre emplacement en fonction des antennes-relais auxquelles votre appareil se connecte », selon un document d'assistance du géant technologique. « Le paramètre Limiter la localisation précise améliore la confidentialité de votre localisation en réduisant la précision des données de localisation disponibles pour les réseaux cellulaires. »

« Lorsque ce paramètre est activé, certaines informations mises à la disposition des réseaux cellulaires sont limitées », explique Apple. « Par conséquent, ceux-ci ne pourront déterminer qu'une localisation moins précise, par exemple le quartier où se trouve votre appareil, plutôt qu'une localisation plus précise (comme une adresse postale). »

Apple assure à ses clients que ce paramètre n'aura aucune incidence sur la qualité du signal ou l'expérience utilisateur.

Prenez au sérieux les failles de sécurité « exploitables » !

Comme nous le soulignons chaque fois que nous rendons compte des mises à jour de sécurité d'Apple, des failles telles que CVE-2026-20700 ont historiquement été exploitées pour déployer des logiciels espions sur les appareils d'activistes, de dissidents, de rivaux politiques, de défenseurs des droits humains, de journalistes d'investigation et de personnalités en général. D'autres acteurs de la Big Tech, tels que Google et Meta, luttent depuis des années contre la menace des logiciels espions.

Même si vous n'êtes pas une personne à haut risque, il est toujours judicieux de rester à jour avec les derniers correctifs de sécurité : on ne sait jamais quand on va trébucher sur un fil et devenir une cible.

Pour avoir l'esprit tranquille, utilisez une solution de sécurité indépendante sur tous vos appareils personnels. Sur les appareils Apple, gardez à portée de main le bouton « Mode isolement » si vous avez des raisons de croire que des pirates informatiques pourraient vous prendre pour cible.