Publié le 12 février 2026 à 09h22. Apple a déployé une mise à jour de sécurité d’urgence pour ses systèmes d’exploitation iOS, iPadOS et macOS afin de corriger une vulnérabilité activement exploitée par des attaquants ciblant des individus spécifiques. Cette faille, découverte par Google, affecte un composant essentiel du système et pourrait permettre à des pirates d’accéder à des données sensibles.
- Apple a publié iOS 26.3, iPadOS 26.3 et macOS Tahoe 26.3 pour corriger des dizaines de failles de sécurité.
- Une vulnérabilité « zero-day » (CVE-2026-20700) activement exploitée affecte les composants dyld des iPhone, iPad et Mac.
- La découverte de cette faille est due à l’équipe Threat Analysis Group (TAG) de Google, qui avait déjà identifié des vulnérabilités similaires par le passé.
La faille de sécurité, référencée sous le numéro CVE-2026-20700, concerne le composant dyld (dynamic linker), un élément crucial du système d’exploitation chargé de charger et de lier les bibliothèques et les exécutables. Selon Apple, cette vulnérabilité a été exploitée dans le cadre d’attaques « extrêmement sophistiquées » ciblant des utilisateurs précis. La société précise avoir connaissance de rapports indiquant que cette faille pourrait avoir été utilisée pour compromettre des appareils exécutant des versions antérieures à iOS 26.
Le problème réside dans une corruption de mémoire qui, si exploitée avec succès, pourrait permettre à un attaquant disposant de droits d’écriture en mémoire d’exécuter du code arbitraire sur l’appareil. Apple a corrigé cette faille en améliorant la gestion de l’état au sein du chargeur dynamique.
Cette découverte intervient après que l’équipe TAG de Google a déjà mis en lumière deux autres vulnérabilités WebKit (CVE-2025-14174 et CVE-2025-43529) qui ont été corrigées par Apple en décembre 2025. L’avis d’Apple suggère que ces différentes vulnérabilités pourraient être liées et faire partie d’une campagne d’attaques plus large.
Au-delà de cette vulnérabilité critique, les mises à jour iOS 26.3 et macOS Tahoe 26.3 corrigent un ensemble complet de failles affectant divers composants essentiels du système, notamment le noyau, WebKit, CoreServices, CFNetwork, Bluetooth et le bac à sable (Sandbox).
Plusieurs des correctifs visent à empêcher l’élévation de privilèges locaux. Des problèmes dans CoreServices (CVE-2026-20615 et CVE-2026-20617) pourraient permettre à une application de prendre le contrôle total du système, tandis qu’une vulnérabilité du noyau (CVE-2026-20626) permettait à des logiciels malveillants d’accroître leurs privilèges. Une autre faille du noyau (CVE-2026-20671) aurait pu permettre à des attaquants sur le réseau d’intercepter le trafic.
Les mises à jour corrigent également des failles permettant de s’échapper du bac à sable, notamment CVE-2026-20628 dans le composant Sandbox et CVE-2026-20667 dans libxpc. Ces failles pourraient permettre à des applications de sortir de leur environnement restreint, ce qui est particulièrement utile dans des attaques complexes en plusieurs étapes.
Le moteur de navigateur WebKit, utilisé par Safari et tous les navigateurs sur iOS, a également reçu plusieurs correctifs pour des problèmes de gestion de la mémoire et de l’état. Ces correctifs (CVE-2026-20652, CVE-2026-20608, CVE-2026-20644, CVE-2026-20636 et CVE-2026-20635) visent à prévenir les dénis de service et les plantages inattendus lors de la navigation sur des sites web malveillants. Une autre faille WebKit (CVE-2026-20676) aurait pu permettre à des sites web de suivre les utilisateurs via les extensions Safari.
Enfin, les mises à jour corrigent également des vulnérabilités affectant la confidentialité, notamment des failles permettant un accès non autorisé à des données sensibles via Spotlight, StoreKit, Siri, Photos, UIKit et les fonctionnalités d’accessibilité. Des problèmes de gestion de l’état de l’interface utilisateur auraient également pu permettre à des attaquants ayant un accès physique à un appareil verrouillé d’afficher des informations sensibles.
Apple n’a pas divulgué de détails techniques sur l’exploitation de CVE-2026-20700, conformément à sa politique visant à limiter la diffusion d’informations jusqu’à ce que les utilisateurs aient eu le temps d’installer les mises à jour.
Il est fortement recommandé aux utilisateurs de mettre à jour leurs appareils dès que possible. Sur iPhone et iPad, la mise à jour peut être effectuée via Réglages > Général > Mise à jour logicielle. Sur Mac, elle est disponible dans les Préférences Système > Général > Mise à jour logicielle.