iOS 18.4.1 : Apple colmate d'urgence deux failles de sécurité activement exploitées

Apple vient de déployer iOS 18.4.1 et une série de mises à jour critiques pour l'ensemble de son écosystème afin de corriger deux vulnérabilités majeures déjà exploitées par des pirates. Les utilisateurs sont vivement encouragés à mettre à jour leurs appareils sans délai pour se protéger contre ces failles potentiellement dangereuses.

Des attaques sophistiquées déjà en cours

Ce n'est pas la première fois qu'Apple publie une mise à jour intermédiaire pour colmater des brèches de sécurité. Alors que la version iOS 18.4 avait été déployée fin mars 2025, l'entreprise a rapidement découvert que deux vulnérabilités étaient exploitées "dans le cadre d'attaques extrêmement sophistiquées visant des individus ciblés spécifiques". La gravité de la situation a poussé Apple à accélérer le déploiement de correctifs, avec l'aide du Threat Analysis Group de Google qui a contribué à identifier l'une des failles.

Ces mises à jour de sécurité concernent tout l'écosystème Apple :

• iOS 18.4.1 pour iPhone
• iPadOS 18.4.1 pour iPad
• macOS 15.4.1 pour Mac
• tvOS 18.4.1 pour Apple TV
• visionOS 2.4.1 pour le casque Vision Pro

Seule l'Apple Watch n'a pas reçu de mise à jour pour le moment.

Deux failles critiques aux conséquences graves

La première vulnérabilité (CVE-2025-31200) affecte CoreAudio, un composant fondamental des systèmes d'exploitation d'Apple qui gère le traitement des fichiers audio. Selon les informations publiées, le traitement d'un flux audio dans un fichier multimédia malveillant pouvait entraîner l'exécution de code arbitraire sur l'appareil. Concrètement, cela signifie qu'un attaquant pouvait prendre le contrôle de l'appareil simplement en faisant lire un fichier audio spécialement conçu. Apple a résolu ce problème de corruption de mémoire en améliorant les vérifications de limites dans le code.

La seconde vulnérabilité (CVE-2025-31201) concerne RPAC. Cette fonctionnalité de sécurité, normalement conçue pour protéger la mémoire du système, présentait une faille permettant à un attaquant disposant de capacités de lecture et d'écriture arbitraires de contourner les protections. Apple a simplement supprimé le code vulnérable pour résoudre ce problème.

Ces deux failles pouvaient être combinées dans des attaques sophistiquées pour compromettre des appareils ciblés, probablement ceux de personnalités ou d'individus présentant un intérêt particulier pour les attaquants.

Comment se protéger efficacement

Pour installer ces correctifs de sécurité essentiels, voici la procédure à suivre selon votre appareil :

iPhone et iPad

Accédez à l'application Réglages, puis naviguez vers Général > Mise à jour logicielle. Téléchargez et installez iOS 18.4.1 ou iPadOS 18.4.1. Outre les correctifs de sécurité, cette mise à jour résout également un bug CarPlay qui causait des problèmes de connectivité dans certains véhicules.

Mac

Ouvrez Réglages système, puis cliquez sur Mise à jour de logiciels pour installer macOS 15.4.1. Cette mise à jour apporte également des correctifs de bugs généraux pour une expérience utilisateur plus fluide.

Apple TV

Sur votre Apple TV, allez dans Réglages > Système > Mise à jour logicielle pour installer tvOS 18.4.1. La mise à jour HomePod Software 18.4.1 est également disponible pour les enceintes HomePod et HomePod mini.

Vision Pro

Sur le casque Vision Pro, accédez à Réglages > Général > Mise à jour logicielle pour installer visionOS 2.4.1.

Les experts en sécurité recommandent vivement d'effectuer ces mises à jour dès que possible, idéalement sur une connexion Wi-Fi stable et avec une batterie suffisamment chargée. Pour les utilisateurs gérant plusieurs appareils Apple, il est préférable de commencer par mettre à jour les appareils les plus fréquemment utilisés ou ceux contenant les données les plus sensibles.

L'importance cruciale des mises à jour de sécurité

Ces vulnérabilités rappellent l'importance de maintenir ses appareils à jour, même lorsque les mises à jour semblent mineures. Dans ce cas précis, les failles étaient déjà activement exploitées, ce qui signifie qu'elles représentaient une menace réelle et immédiate.

Les attaques ciblant ces vulnérabilités étaient décrites comme "extrêmement sophistiquées", suggérant qu'elles pourraient provenir d'acteurs disposant de ressources importantes, potentiellement des groupes soutenus par des États ou des entreprises spécialisées dans la surveillance. Ce type d'attaques, souvent appelées "zero-day" car elles exploitent des vulnérabilités inconnues jusqu'alors, sont particulièrement dangereuses puisque les utilisateurs n'ont aucun moyen de s'en protéger avant la publication d'un correctif.

Apple est déjà au travail sur iOS 18.5 et d'autres mises à jour majeures qui devraient être disponibles au public début mai 2025. Ces futures versions apporteront probablement de nouvelles fonctionnalités, mais continueront également à renforcer la sécurité de l'écosystème Apple.