iOS 18.5 est une mise à jour bien plus importante que prévu (pour une bonne raison)

Apple vient tout juste de rendre disponible iOS 18.5 il y a quelques heures. Même si elle est un peu avare en nouveautés (voir notre article détaillé à ce sujet), elle demeure néanmoins l’une des plus importantes de ces derniers mois. Elle ne contient aucun correctif pour des failles déjà exploitées activement, comme ce fut le cas pour iOS 18.3. Et pourtant, elle comble plus d’une trentaine de vulnérabilités réparties dans les couches profondes du système, certaines touchant directement vos données personnelles.

Des correctifs essentiels pour la vie privée

Parmi les failles corrigées, certaines touchaient directement des apps natives et sensibles, comme Notes et Téléphone. Un bug permettait, par exemple, d’accéder à des notes verrouillées depuis l’écran de verrouillage en cas d’accès physique à l’appareil. Un autre permettait même de récupérer des enregistrements d’appels censés avoir été supprimés. Dans ce dernier cas, ces informations auraient pu – si placées entre les mains de personnes malveillantes – être utilisées à des fins frauduleuses. Chantage, usurpation d’identité, espionnage, etc.

Apple indique que ces vulnérabilités n’ont pas été activement exploitées, mais leur nature (l’accès à des contenus supposés privés) justifie à elle seule l’installation immédiate de cette mise à jour.

iOS 18.5 sécurise le Bluetooth, FaceTime et même Spotlight

iOS 18.5 vient renforcer la sécurité d’autres composants système, tout aussi importants. À commencer par le Bluetooth, dont l’usage par certaines apps manquait de garde-fous suffisamment robustes. Concrètement, des applications pouvaient exploiter cette interface pour accéder à des données sensibles, sans que l’utilisateur en soit averti. Apple corrige ici une faille d’exposition indirecte, typique des attaques dites « par canal secondaire » : invisibles à l’œil nu, mais capables de capter des signaux ou métadonnées exploitables à des fins malveillantes.

Autre ajustement important : Spotlight, le moteur de recherche intégré à iOS. Avant la mise à jour, il arrivait que l’outil indexait et affichait l’historique d’appels issus d’applications pourtant désinstallées. Une incohérence logicielle, qui brouillait la frontière entre données actives et données résiduelles. iOS 18.5 empêche désormais Spotlight de conserver et d’afficher des données ; cela évitera ainsi toute fuite résiduelle d’informations.

Enfin, FaceTime bénéficie aussi d’une correction qui peut sembler mineure au premier regard, mais touche finalement à un aspect assez sensible : la gestion du bouton muet. Dans certaines situations, activer le mode Silence ne coupait pas complètement l’audio. Apple a ajusté le fonctionnement interne de l’interface pour garantir que la mise en sourdine réponde bien à l’intention de l’utilisateur. Dans des contextes professionnels ou intimes, on apprécie.

Le modem C1 du nouvel iPhone 16e reçoit son premier patch critique

Parmi les correctifs spécifiques à l’iPhone 16e, Apple a colmaté une vulnérabilité affectant le modem maison C1, dévoilé en février 2025. Cette faille permettait à un acteur malintentionné situé dans un réseau privilégié ; par exemple, chez un opérateur ; d’accéder au trafic réseau du terminal. La correction introduite dans iOS 18.5 limite radicalement ce risque, en verrouillant les canaux de communication vulnérables.

Safari, Mail, ImageIO, WebKit… des patchs dans toutes les couches

Huit vulnérabilités ont été corrigées dans WebKit, le moteur de rendu qui alimente Safari et de nombreuses applications tierces. Les vulnérabilités détectées pouvaient être exploitées via des pages web spécialement conçues pour provoquer des débordements de mémoire tampon ou contourner les vérifications d’accès, exposant le système à des crashs ou à des comportements imprévus.

D’autres composants critiques ont reçu des correctifs similaires. ImageIO, chargé du traitement des images dans iOS, pouvait être détourné via des fichiers piégés, menant à des attaques par déni de service (DoS). L’app Mail, de son côté, contenait une faille qui permettait à un contenu mal formé de simuler visuellement une autre interface, avec un risque d’usurpation ou de tromperie.

Plus bas dans la pile logicielle, Apple a renforcé la gestion de la mémoire du noyau pour prévenir des corruptions pouvant entraîner l’arrêt d’apps ou du système lui-même. Des modules essentiels comme CoreAudio, CoreGraphics, CoreMedia, ou encore des bibliothèques système comme AppleJPEG, mDNSResponder (chargé du réseau local) et libexpat (analyseur XML) ont également été patchés. Là aussi, les failles pouvaient mener à des crashs ou, dans certains cas, à l’exécution de code arbitraire, c’est-à-dire la possibilité, pour un attaquant, de faire tourner du code sur votre appareil comme s’il en avait le contrôle.

Dans l’écosystème Apple, les failles ne sont souvent exploitées que post mortem (elles sont découvertes avant d’être exploitées), le meilleur réflexe à adopter reste encore l’anticipation. Ne pas installer iOS 18.5 revient à laisser des portes ouvertes, même si elles ne sont pas encore utilisées. Si votre iPhone n’est pas encore à jour, vous devriez donc y remédier sans tarder.

• Apple vient de corriger une trentaine de vulnérabilités avec iOS 18.5, dont certaines touchaient directement la confidentialité de vos appels, notes et données réseau.
• Plusieurs composants système profonds ont été sécurisés, y compris Safari, FaceTime, Mail, Spotlight, Bluetooth et le modem des iPhone 16e.
• Même en l’absence d’attaques connues, ignorer cette mise à jour revient à laisser ouvertes des failles techniques désormais documentées.