Apple corrige activement la faille zero-day CVE-2025-24200 d’iOS exploitée dans une mise à jour d’urgence

  • Accueil
  • Non classé
  • Apple corrige activement la faille zero-day CVE-2025-24200 d’iOS exploitée dans une mise à jour d’urgence

Apple corrige activement la faille zero-day CVE-2025-24200 d’iOS exploitée dans une mise à jour d’urgence

Apple a publié  des mises à jour de sécurité hors bande pour corriger une faille de sécurité dans iOS et iPadOS qui, selon elle, a été exploitée dans la nature.

Attribuée à l’identifiant CVE CVE-2025-24200 , la vulnérabilité a été décrite comme un problème d’autorisation qui pourrait permettre à un acteur malveillant de désactiver le mode restreint USB sur un appareil verrouillé dans le cadre d’une cyberattaque physique.

Cela suggère que les attaquants ont besoin d’un accès physique à l’appareil pour exploiter la faille. Introduit dans iOS 11.4.1, le mode USB restreint empêche un appareil Apple iOS et iPadOS de communiquer avec un accessoire connecté s’il n’a pas été déverrouillé et connecté à un accessoire au cours de la dernière heure.

Cette fonctionnalité est considérée comme une tentative visant à empêcher les outils de criminalistique numérique comme Cellebrite ou GrayKey , principalement utilisés par les forces de l’ordre, d’accéder sans autorisation à un appareil confisqué et d’en extraire des données sensibles.

Conformément aux avis de ce type, aucun autre détail sur la faille de sécurité n’est actuellement disponible. Le fabricant de l’iPhone a déclaré que la vulnérabilité a été corrigée grâce à une meilleure gestion de l’état.

Cependant, Apple a reconnu être « au courant d’un rapport selon lequel ce problème pourrait avoir été exploité dans une attaque extrêmement sophistiquée contre des individus ciblés spécifiques ».

Le chercheur en sécurité Bill Marczak du Citizen Lab de la Munk School de l’Université de Toronto est reconnu pour avoir découvert et signalé la faille.

La mise à jour est disponible pour les appareils et systèmes d’exploitation suivants –

  • iOS 18.3.1 et iPadOS 18.3.1 – iPhone XS et versions ultérieures, iPad Pro 13 pouces, iPad Pro 12,9 pouces 3e génération et versions ultérieures, iPad Pro 11 pouces 1re génération et versions ultérieures, iPad Air 3e génération et versions ultérieures, iPad 7e génération et versions ultérieures, et iPad mini 5e génération et versions ultérieures
  • iPadOS 17.7.5 – iPad Pro 12,9 pouces 2e génération, iPad Pro 10,5 pouces et iPad 6e génération

Ce développement intervient quelques semaines après que Cupertino a résolu une autre faille de sécurité, un bug d’utilisation après libération dans le composant Core Media (CVE-2025-24085), qui, selon lui, avait été exploité contre des versions d’iOS antérieures à iOS 17.2.

Les failles zero-day présentes dans les logiciels Apple ont été principalement exploitées par les fournisseurs de logiciels de surveillance commerciaux pour déployer des programmes sophistiqués capables d’extraire des données des appareils des victimes.

Bien que ces outils, tels que Pegasus de NSO Group , soient commercialisés comme une  technologie qui sauve des vies  et pour lutter contre les activités criminelles graves afin de contourner le problème dit du « Going Dark » , ils ont également été utilisés à mauvais escient pour espionner des membres de la société civile.

Le groupe NSO a pour sa part réitéré que Pegasus n’est pas un outil de surveillance de masse et qu’il est sous licence auprès d’ agences de renseignement et d’application de la loi légitimes et contrôlées .

 

Post Your Comment

Abonnez-vous à notre newsletter

En vous abonnant à notre newsletter, vous serez toujours informé des dernières actualités, offres exclusives et conseils personnalisés, directement dans votre boîte de réception.

Transformez vos ambitions, en Compétences Professionnelles

Facebook-square Linkedin Youtube
Formations
Services
Nous Contacter