Comme à chaque mise à jour, la version 26.3 finalisée hier soir corrige de multiples bugs et des failles de sécurité. La majorité du temps, ces vulnérabilités sont repérées par des chercheurs en sécurité et corrigées avant toute exploitation connue. Ce n’est pas le cas cette fois : la faille dénichée par le groupe spécialisé de Google était utilisée dans des attaques très sophistiquées. Si son exploitation restait suffisamment complexe pour ne pas la retrouver dans le premier malware venu, mieux vaut malgré tout installer les mises à jour dès que vous le pouvez.
Comme toutes les failles de sécurité, celle-ci porte un numéro, en l’occurrence CVE-2026-20700. La description de son impact donnée par Apple est toutefois bien plus parlante :
Un attaquant disposant de capacités d’écriture en mémoire pouvait être en mesure d’exécuter du code arbitraire. Apple a connaissance d’une information indiquant que cette vulnérabilité a pu être exploitée dans le cadre d’une attaque extrêmement sophistiquée visant des personnes spécifiquement ciblées sur des versions d’iOS antérieures à iOS 26.
Deux éléments clés ressortent de ce petit paragraphe fourni par l’entreprise de Tim Cook. D’une part, l’attaque semble difficile à mettre en œuvre et c’est pour cette raison qu’elle paraît n’avoir été utilisée que lors d’attaques ciblées et non pas contre le grand public. On parle ici le plus souvent d’opposants ou de journalistes visés directement et non d’un dispositif malveillant largement distribué. À défaut de détails précis sur l’attaque, Apple indique qu’elle concerne dyld, pour dynamic linker.
Cette brique bas niveau charge en mémoire toutes les bibliothèques dynamiques indispensables au bon fonctionnement d’une app, comme les frameworks du système ou d’autres briques logicielles. Au passage, ce n’est pas la première fois que son nom ressort en lien avec une faille de sécurité, c’était aussi le cas avec une vulnérabilité corrigée par OS X 10.10.5, en août 2015.
Faille dyld : Apple livrera un correctif avec OS X 10.10.5
D’autre part, la faille ne se limite pas à iOS 26, puisque les exploitations connues concernent des versions antérieures. D’ailleurs, le correctif est également fourni pour iOS et iPadOS 18.7.5, en plus de tous les OS 26.3. Tous les iPhone depuis le 11, les iPad depuis 2018 et les Mac compatibles avec Tahoe pouvaient être attaqués par ce biais.
Deux autres failles de sécurité en lien avec celle-ci sont par ailleurs référencées, toutes deux liées à un navigateur web et comblées depuis le mois de décembre 2025. CVE-2025-43529 a été corrigée avec les OS 26.2 et elle concernait Safari tandis que CVE-2025-14174 touchait Chrome et a été gérée par Google. Tout porte à croire que la porte d’entrée était le navigateur web, un vecteur courant d’attaques. C’est logique quand on pense que c’est une app universelle, très facile à cibler (un site web suffit) et suffisamment complexe pour cacher de multiples failles potentielles.
Source :
