Apple a publié lundi des mises à jour de sécurité d’urgence pour corriger une vulnérabilité dans iOS et iPados, identifiée comme CVE-2025-24200qui a été activement exploité dans la nature. Le défaut présente un problème d’autorisation qui pourrait permettre aux attaquants ayant un accès physique à désactiver le mode restreint USB sur les appareils verrouillés dans le cadre d’une attaque physique.
Apple publie des mises à jour d’urgence pour corriger la vulnérabilité iOS
Mode restreint USB, introduit dans iOS 11.4.1, empêche Appareils iOS et iPados de la communication avec les accessoires lorsqu’ils n’ont pas été déverrouillés et connectés dans l’heure précédente. Cette fonctionnalité vise à protéger les appareils contre l’accès non autorisé par des outils de médecine légale numérique souvent utilisés par les forces de l’ordre, comme Cellebrite et Graykey.
Apple a confirmé qu’il était conscient de rapports indiquant que cette vulnérabilité peut avoir été exploitée dans des attaques très sophistiquées contre des individus ciblés spécifiques. Le défaut a été abordé avec une amélioration de la gestion de l’État selon l’avis d’Apple, bien que d’autres détails techniques ne soient pas divulgués.
Bill Marczak, chercheur en sécurité du Citizen Lab de l’Université de Toronto, a découvert et a signalé la vulnérabilité. Le logiciel mis à jour est disponible pour les appareils suivants:
- iOS 18.3.1 et iPados 18.3.1: iPhone XS et plus tard, iPad Pro 13 pouces, iPad Pro 12,9 pouces 3e génération et plus tard, iPad Pro 11 pouces 1ère génération et plus tard, iPad Air 3e génération et plus tard, iPad 7e génération et plus tard, et iPad Mini 5e génération et plus tard.
- iPados 17.7.5: iPad Pro 12,9 pouces 2e génération, iPad Pro 10,5 pouces et iPad 6e génération.
Cette version suit une solution récente pour un défaut de sécurité différent –CVE-2025-24085un bogue d’utilisation sans rapport dans le composant multimédia de base – identifié auparavant comme exploité dans les versions iOS précédentes. De plus, les vulnérabilités du jour zéro dans les logiciels Apple sont fréquemment déployées par les fournisseurs de surveillance pour extraire des données des appareils compromis.
Des outils commercialement commercialisés, comme Pegasus du groupe NSO, réclament l’utilité pour l’application de la loi tout en étant confronté à un examen minutieux pour les pratiques invasives. Le groupe NSO a soutenu que Pegasus n’est pas conçu pour la surveillance de masse et est exclusivement autorisé aux agences approuvées.
Le mode restreint USB a été crucial pour minimiser les risques associés aux attaques physiques via des ports d’appareil. Si un appareil est verrouillé pendant plus d’une heure, Apple désactive ses ports Lightning ou USB pour contrecarrer les violations potentielles des accessoires connectés.
L’Institut national des normes caractérise la vulnérabilité nouvellement corrigée en tant que problème d’autorisation qui nécessitait des améliorations de la gestion de l’État. Apple a souligné qu’une attaque physique pourrait potentiellement désactiver le mode restreint USB sur les appareils verrouillés et a reconnu les préoccupations concernant son exploitation dans les attaques ciblées.
Marczak a spécifiquement souligné la nature critique de cette mise à jour, exhortant les utilisateurs à passer à iOS 18.3.1 à se protéger contre ces vulnérabilités. Les utilisateurs peuvent trouver la mise à jour via les paramètres de leur appareil sous mise à jour logicielle.
Pour les appareils non affectés par la faille et la gestion des versions iOS plus anciennes, Apple n’a pas publié de mises à jour alors que l’entreprise continue de prioriser les systèmes d’exploitation plus récents, renforçant ainsi l’importance des mises à jour en temps opportun dans la lutte contre les paysages de menaces numériques.
Crédit d’image en vedette: William Hook / Unsplash
