Nous pouvons gagner une commission sur les liens sur cette page.
Alors que l’attention collective du monde de la technologie est actuellement fixée sur iOS 27, Apple continue de produire des mises à jour pour iOS 26. Même s’il est peu probable que nous obtenions une autre version riche en fonctionnalités dans l’ère « 26 », il y aura toujours des bugs et des failles de sécurité à éliminer chaque fois qu’Apple ou des chercheurs tiers les découvriront. Exemple concret : lundi, Apple a abandonné iOS 26.5.2, qui inclut des correctifs pour 29 vulnérabilités de sécurité.
Ce qui est plus intéressant que les bogues corrigés par ces correctifs, c’est que la société n’avait pas encore l’intention de les publier à l’origine. En fait, iOS 26.5.2 marque un changement radical dans la façon dont Apple déploie les mises à jour de sécurité, en grande partie en raison des menaces potentielles provenant des nouveaux modèles d’IA.
1 193,00 $
chez Amazon
Économisez 105,69 $
Apple change la façon dont il gère les mises à jour de sécurité
iOS 26.5.2 n’a pas toujours été censé exister. Apple a déclaré à Reuters plus tôt cette semaine que ces correctifs étaient en fait destinés à une future version d’iOS, peut-être iOS 26.6, mais la société modifie actuellement la façon dont elle gère les mises à jour de sécurité, notamment en raison des menaces de sécurité de modèles comme Claude Mythos d’Anthropic. Ces modèles peuvent facilement détecter les vulnérabilités de sécurité des logiciels plus tôt que les chercheurs humains et, à ce titre, Apple estime nécessaire de publier les correctifs dès qu’ils sont disponibles. Traditionnellement, la société regroupe les correctifs de sécurité avec ses mises à jour logicielles typiques, contrairement à d’autres sociétés qui séparent les correctifs de sécurité des mises à jour de fonctionnalités. Mais à mesure que ces nouveaux modèles d’IA se répandent et que le risque que des acteurs malveillants découvrent des failles de sécurité augmente, Apple publiera désormais de nouveaux correctifs beaucoup plus tôt que d’habitude.
En tant que tel, vous devriez vous attendre à voir plus de mises à jour apparaître sur vos appareils Apple que par le passé. Je ne serais pas surpris de voir iOS 26.5.3 entrer en scène avant un iOS 26.6, et Apple pourrait publier plus de mises à jour « iOS 26 » que d’habitude avant la sortie d’iOS 27 cet automne. Vous devez toujours mettre à jour vos appareils chaque fois que ces mises à jour sont disponibles, car la menace posée par les modèles de sécurité de l’IA est vraiment importante.
Voici les correctifs iOS 26.5.2
Tout d’abord, la bonne nouvelle : aucune de ces vulnérabilités ne semble être un « jour zéro ». Un Zero Day est une faille de sécurité qui est divulguée publiquement ou activement exploitée avant que le développeur du logiciel n’ait la possibilité de publier un correctif. Ils sont particulièrement dangereux, car ils donnent un avantage aux pirates : ils peuvent tenter de trouver un exploit – ou, pire, profiter de cet exploit – aussi longtemps qu’il faut au développeur pour publier une mise à jour et à sa base d’utilisateurs pour l’installer. Heureusement, aucune de ces failles ne semble être admissible, ce qui signifie qu’il ne s’agit pas d’une situation critique. Pourtant, toute faille de sécurité non corrigée est préoccupante, et maintenant qu’elles sont divulguées, ce n’est plus qu’une question de temps avant que quelqu’un découvre comment les exploiter, surtout avec l’aide de nouveaux modèles d’IA. Il est donc important d’installer iOS 26.5.2 dès que possible.
Selon les notes de version de sécurité officielles d’Apple, iOS 26.5.2 (et iPadOS 26.5.2) corrige 29 failles de sécurité. La plupart des failles sont liées à la manière dont WebKit, le moteur d’Apple qui alimente Safari, sécurise les données des utilisateurs. Vous verrez certaines failles qui pourraient exposer des données sensibles si l’utilisateur traite du contenu Web malveillant (par exemple, si vous cliquez sur un lien frauduleux), ainsi qu’une vulnérabilité qui pourrait divulguer des données sensibles simplement en visitant un site Web, même si ce site n’est pas nécessairement malveillant. Un autre correctif corrige une faille qui permettrait aux sites Web malveillants de traiter des données en dehors du « bac à sable » ou de l’élément sécurisé dans lequel Apple conserve les sites Web afin qu’ils ne s’aventurent pas dans les parties sécurisées d’iOS, tandis qu’un autre corrige une faille qui pourrait voler les données du presse-papiers à votre insu.
Vous trouverez les 29 correctifs répertoriés ci-dessous, ainsi qu’une description, le correctif et le numéro CVE (Common Vulnerabilities and Exposures) utilisé pour les suivre. Encore une fois, aucune de ces failles n’a d’exploit actif connu.
-
IOGPUFamille: Une application peut provoquer une interruption inattendue du système. Une condition de concurrence critique a été résolue par une gestion améliorée de l’état. CVE-2026-43743 : Lyutoon, Dun
-
Noyau: Une application peut provoquer une interruption inattendue du système ou écrire la mémoire du noyau. Le problème a été résolu par une meilleure désinfection des entrées. CVE-2026-43724 :
-
Noyau: Une application peut être en mesure de divulguer un état sensible du noyau. Le problème a été résolu par une meilleure désinfection des entrées. CVE-2026-43722.
-
Noyau: Une application peut provoquer une interruption inattendue du système ou corrompre la mémoire du noyau. Ce problème a été résolu avec une validation améliorée des entrées. CVE-2026-39868.
-
libxslt: Le traitement de contenu Web conçu de manière malveillante peut entraîner un blocage inattendu du processus. Un problème de double gratuité a été résolu avec une gestion améliorée de la mémoire. CVE-2026-43706.
-
libxslt: Le traitement de contenu Web conçu de manière malveillante peut entraîner un blocage inattendu du processus. Le problème a été résolu avec une gestion améliorée de la mémoire. CVE-2026-43703.
-
Extensions Web: Une extension Web malveillante peut provoquer un crash inattendu du processus. Un problème d’utilisation après libération a été résolu avec une gestion améliorée de la mémoire. CVE-2026-43704.
-
Kit Web: Le traitement de contenu Web conçu de manière malveillante peut divulguer des informations utilisateur sensibles. Un problème d’origine croisée a été résolu grâce à un suivi amélioré des origines de sécurité. CVE-2026-43700.
-
Kit Web: Un site Web malveillant peut exfiltrer des données d’origine croisée. Le problème a été résolu par des contrôles améliorés. CVE-2026-43735.
-
Kit Web: Le traitement de contenu Web conçu de manière malveillante peut entraîner un blocage inattendu du processus. Un problème d’utilisation après libération a été résolu avec une gestion améliorée de la mémoire. CVE-2026-43734/CVE-2026-43726/CVE-2026-43709/CVE-2026-43699/CVE-2026-43742.
-
Kit Web: Le traitement de contenu Web conçu de manière malveillante peut divulguer des informations utilisateur sensibles. Un problème de gestion du chemin a été résolu avec une validation améliorée. CVE-2026-43732.
-
Kit Web: Le traitement de contenu Web malveillant peut entraîner une corruption de la mémoire. Un problème d’utilisation après libération a été résolu avec une gestion améliorée de la mémoire. CVE-2026-43731/CVE-2026-43715.
-
Kit Web: Le traitement de contenu Web conçu de manière malveillante peut entraîner un crash inattendu de Safari. Un problème d’utilisation après libération a été résolu avec une gestion améliorée de la mémoire. CVE-2026-43727.
-
Kit Web: Un site Web malveillant peut être capable de traiter du contenu Web restreint en dehors du bac à sable. Le problème a été résolu avec une validation améliorée des entrées. CVE-2026-43725.
-
Kit Web: Le traitement de contenu Web conçu de manière malveillante peut entraîner un blocage inattendu du processus. Le problème a été résolu avec une gestion améliorée de la mémoire. CVE-2026-43663/CVE-2026-39872/CVE-2026-43712.
-
Kit Web: Le traitement de contenu Web conçu de manière malveillante peut entraîner un crash inattendu de Safari. Le problème a été résolu avec une gestion améliorée de la mémoire. CVE-2026-43716.
-
Kit Web: Le traitement de contenu Web conçu de manière malveillante peut entraîner un crash inattendu de Safari. Un problème d’accès hors limites a été résolu grâce à une vérification améliorée des limites. CVE-2026-43676.
-
Kit Web: Le traitement de contenu Web conçu de manière malveillante peut entraîner la divulgation de la mémoire du processus. Le problème a été résolu avec une gestion améliorée de la mémoire. CVE-2026-43740.
-
Kit Web: La visite d’un site Web peut entraîner une fuite de données sensibles. Un problème d’autorisations a été résolu avec des restrictions supplémentaires. CVE-2026-43713.
-
Kit Web: Un site Web malveillant peut exfiltrer des données d’origine croisée. Le problème a été résolu avec une validation améliorée des entrées. CVE-2026-43708.
-
Kit Web: Le traitement de contenu Web conçu de manière malveillante peut entraîner un blocage inattendu du processus. Un problème de corruption de mémoire a été résolu avec une gestion améliorée de la mémoire. CVE-2026-43707.
-
Kit Web: Le traitement de contenu Web malveillant peut entraîner une corruption de la mémoire. Un problème de confusion de type a été résolu avec des contrôles améliorés. CVE-2026-43705.
-
Kit Web: Un site Web malveillant peut être capable de traiter du contenu Web restreint en dehors du bac à sable. Le problème a été résolu par des contrôles améliorés. CVE-2026-43701.
-
Kit Web: Le traitement de contenu Web conçu de manière malveillante peut entraîner un crash inattendu de Safari. Un problème d’écriture hors limites a été résolu avec une validation d’entrée améliorée. CVE-2026-43745.
-
Toile WebKit: Le traitement de contenu Web conçu de manière malveillante peut entraîner un crash inattendu de Safari. Un problème d’utilisation après libération a été résolu avec une gestion améliorée de la mémoire. CVE-2026-43720.
-
Stockage WebKit: Un site Web malveillant peut être capable de détourner silencieusement les données du presse-papiers. Ce problème a été résolu grâce à une meilleure gestion de l’État. CVE-2026-43721.
-
WebRTC: Le traitement de contenu Web conçu de manière malveillante peut entraîner un blocage inattendu du processus. Un problème d’accès hors limites a été résolu grâce à une vérification améliorée des limites. CVE-2026-28979.
-
WebRTC: Le traitement de contenu Web conçu de manière malveillante peut entraîner un crash inattendu de Safari. Un débordement de pile a été résolu avec une validation d’entrée améliorée. CVE-2026-43718.
-
WebRTC: Le traitement de contenu Web conçu de manière malveillante peut entraîner un crash inattendu de Safari. Un problème d’utilisation après libération a été résolu avec une gestion améliorée de la mémoire. CVE-2026-43717/CVE-2026-43746.
Comment mettre à jour vers iOS 26.5.2
L’installation de ce correctif de sécurité est la même que pour toute autre mise à jour iOS. Si les mises à jour automatiques sont activées, le système d’exploitation devrait se mettre à jour tout seul en temps voulu. Cependant, vous pouvez lancer manuellement le processus en vous rendant sur Général > Mise à jour du logiciel et en suivant les instructions à l’écran.