Zero-Days dans la ligne de mire : Apple et Google se précipitent pour corriger les attaques de logiciels espions

Un mercredi calme, Apple a discrètement publié ce qui pourrait être sa mise à jour de sécurité la plus importante de l'année - un geste qui montre à quel point les enjeux sont devenus élevés dans le monde obscur des cyberattaques ciblées. Cette fois, non pas une mais deux vulnérabilités zero-day étaient activement exploitées dans la nature, et les attaquants n’étaient pas de simples hackers. Les cibles ? Des individus spécifiques, sélectionnés pour des raisons qu’Apple ne divulgue pas. Les attaquants ? « Extrêmement sophistiqués », selon l’aveu même d’Apple.

Au cœur de l’attaque : anatomie d’une menace zero-day

Les vulnérabilités zero-day sont le ticket d’or des hackers - inconnues, non corrigées, et souvent dévastatrices. Dans ce cas, les failles concernaient WebKit, le moteur de navigation qui alimente Safari et tout le contenu web sur les appareils iOS. CVE-2025-43529 permettait l’exécution de code à distance via un bug de type use-after-free - une erreur de gestion de la mémoire qui peut permettre à un attaquant d’exécuter du code malveillant simplement en incitant un utilisateur à charger un site web piégé. La seconde, CVE-2025-14174, était une faille de corruption de mémoire, tout aussi dangereuse et découverte indépendamment par le Threat Analysis Group de Google et l’équipe de sécurité d’Apple.

La sophistication de l’incident est soulignée par la coordination entre Apple et Google. Le même jour où Apple a publié ses correctifs, Google a mis à jour Chrome pour corriger exactement la même CVE-2025-14174, révélant une collaboration en coulisses rare. Le fait que Chrome sur iOS repose sur WebKit - conformément aux règles de l’App Store d’Apple - signifiait que même le navigateur de Google n’était pas à l’abri.

Qui a été ciblé - et pourquoi ?

Apple reste discret sur les victimes, se contentant d’indiquer que « des individus spécifiquement ciblés » ont été affectés. Ce langage est un code dans la cybersécurité pour désigner des campagnes de logiciels espions, souvent commanditées par des États, visant des militants, des journalistes ou des cibles corporatives de grande valeur. Il ne s’agit pas d’attaques de masse ; ce sont des frappes de précision, avec des exploits probablement vendus à six ou sept chiffres sur le marché noir.

Pour les utilisateurs ordinaires, l’urgence demeure. Même si cette vague d’exploitation semble très ciblée, la simple existence de ces failles sur des appareils Apple largement utilisés signifie que le risque pourrait s’accroître si les vulnérabilités étaient rétro-conçues et réutilisées par des cybercriminels moins scrupuleux.

La vue d’ensemble : un jeu du chat et de la souris sans relâche

Avec ces derniers correctifs, Apple a désormais corrigé sept zero-days rien qu’en 2025 - un rythme effréné qui souligne la sophistication et la persistance croissantes des attaquants. En septembre, l’entreprise a même rétroporté des correctifs sur d’anciens appareils, une démarche rare qui montre à quel point ces menaces sont devenues sérieuses.