Face à une faille critique exploitée dans une attaque ciblée, Apple a exceptionnellement décidé de prolonger le support de sécurité de plusieurs anciens modèles d’iPhone et d’iPad.
Apple vient de publier une mise à jour de sécurité importante pour plusieurs modèles d’iPhone et d’iPad, encore largement utilisés mais qui ne reçoivent plus les dernières versions d’iOS ou d’iPadOS. Le correctif cible une faille critique exploitée dans une attaque ciblée documentée cet été, déjà corrigée fin août sur les appareils les plus récents via iOS 18.6.2, iPadOS 17.7.10 et les dernières versions de macOS. Ce nouveau patch délivré avec iOS 15.8.5 et d'iPadOS 15.8.5 vient donc élargir la couverture aux générations plus anciennes que sont les iPhone 6s (tous les modèles), iPhone 7 (tous les modèles), iPhone SE (1re génération), iPad Air 2, iPad mini (4e génération) et iPod touch (7e génération).
Offre partenaire
Protection avancée des e-mails, des calendriers, des mots de passe, du réseau… de votre entreprise grâce à la suite d'applications professionnelles sécurisées.
Offre partenaire
Une faille critique exploitée via des images piégées
La vulnérabilité en question touche directement le framework Image I/O, utilisé dans l’ensemble des systèmes Apple pour le traitement des fichiers image. Dans le détail, le problème repose sur une erreur de gestion mémoire qui permet, en fournissant une image spécifiquement construite, de déclencher une écriture en dehors de la zone allouée et d’exécuter du code malveillant à distance.
Ce bug, identifié sous la référence CVE-2025-43300, a été exploité dans une campagne de surveillance ciblée, en combinaison avec une seconde faille corrigée fin août par WhatsApp, CVE-2025-55177, qui permettait de détourner le mécanisme de synchronisation multi-appareils de l’application pour charger automatiquement un fichier hébergé à distance, sans action requise de la part de la victime.
Une fois ce fichier (image piégée) récupéré par la messagerie, le système le traitait automatiquement pour en extraire des informations, générer une miniature ou simplement identifier son format. Des opérations qui sollicitent systématiquement Image I/O, et qui, dans le cadre de ces attaques, ont suffi à tirer profit de la faille liée au framework sans que les cibles n’ouvrent, ni même ne voient quoi que ce soit.
D’après les informations communiquées par WhatsApp et Amnesty International au moment de la première divulgation, moins de 200 personnes auraient été ciblées entre fin mai et début août 2025. Certaines ont été averties directement par une notification envoyée par Meta ou Apple après détection d’une activité suspecte.
Une longue série de failles zero-day en 2025
Depuis janvier, Apple a corrigé six vulnérabilités zero-day exploitées activement, visant aussi bien le moteur WebKit que des couches plus profondes du système, comme le noyau ou Image I/O. Dans tous les cas documentés, les attaques s’appuyaient sur des chaînes d’exploitation complexes, ne nécessitant aucune interaction de la part de la victime, et déployées dans un cadre très spécifique pour cibler journalistes, activistes ou responsables politiques.
Le choix de déployer une mise à jour pour des appareils en fin de support témoigne d’ailleurs assez bien du niveau de sévérité des failles découvertes. Ce type d’extension de couverture reste exceptionnel chez Apple, signe que la menace dépasse les critères habituels retenus pour les patchs de sécurité, au point de justifier une prise en charge hors cycle.
On rappellera aussi que la semaine dernière, l’ANSSI a confirmé avoir identifié quatre campagnes de surveillance ciblée depuis le début de l’année. Des opérations menées contre des profils bien définis, équipés d’iPhone, impliquant des tentatives d’infection par des logiciels espions comme Pegasus ou Graphite. On comprendra dès lors que les alertes envoyées par Apple ne relèvent pas d’un simple principe de précaution, mais qu’elles répondent à une menace on ne peut plus concrète.
Source : Apple
