Apple a publié une mise à jour de sécurité en arrière-plan afin de corriger une faille qui aurait pu permettre à des sites web malveillants de contourner les protections du navigateur et d'accéder aux données d'autres sites.
Qu'est-ce que c'est ?
La faille de sécurité corrigie dans WebKit est décrite comme suit :
« Un problème lié à l'interopérabilité entre origines dans l'API de navigation a été résolu grâce à une validation améliorée des données saisies. »
Les vulnérabilités de WebKit désignent des failles de sécurité dans le moteur de rendu Web d'Apple, qui alimente Safari, Mail et l'App Store sur iOS macOS.
Concrètement, la vulnérabilité CVE-2026-20643 permet à un site web malveillant de se faire passer pour un autre site, peut-être un site auquel vous faites confiance, puis de lire ou de voler des informations qui devraient rester confidentielles. Normalement, les navigateurs appliquent une règle appelée «politique de même origine », qui agit comme une barrière stricte empêchant un site d'accéder aux données d'un autre site. Ce bug pourrait aider les cybercriminels à franchir cette barrière.
Concrètement, un pirate devrait d'abord vous attirer vers une page Web spécialement conçue à cet effet. Si vous la consultiez, cette page pourrait tenter de contourner la séparation habituelle entre les sites et d'accéder à des éléments auxquels elle n'est pas censée avoir accès, comme les données d'un autre onglet ou du contenu intégré provenant d'un autre service.
À l'heure actuelle, les pirates ne semblent pas exploiter cette faille dans la nature, mais ils ont pour habitude de combiner ce genre de problèmes avec d'autres failles pour voler des comptes ou des données sensibles, ce qui a probablement incité Apple à la corriger dans le cadre d'une mise à jour de sécurité en arrière-plan. Le correctif d'Apple renforce la manière dont WebKit vérifie et gère la navigation intersites.
Que faire
Ce correctif destiné à corriger une vulnérabilité de WebKit, référencée sous le numéro CVE-2026-20643, s'installe par-dessus les versions 26.3.1/26.3.2 et ne constitue pas une version complète distincte du système d'exploitation. Les améliorations de sécurité en arrière-plan ne sont disponibles que sur la dernière branche du système d'exploitation (26.x) et s'appliquent automatiquement en arrière-plan si vous utilisez la dernière version.
Si vous utilisez iOS iPadOS, vous pouvez vérifier si vous disposez de la dernière version du logiciel en vous rendant dansRéglages > Général > Mise à jour logicielle. Nous vous recommandons également d'activer les mises à jour automatiques si ce n'est pas déjà fait. Vous pouvez le faire depuis ce même écran.
Si vous utilisez macOS Tahoe, vous pouvez vérifier si vous disposez bien de la dernière version 26.3 via le menu Apple. Dans le coin supérieur gauche de votre écran, sélectionnez « À propos de ce Mac ». Les informations qui s'affichent indiquent le nom et le numéro de version de macOS. Si vous souhaitez également connaître le numéro de build, cliquez sur le numéro de version pour l'afficher.
Cette mise à jour de sécurité en arrière-plan est uniquement disponible pour Mac exécutant Tahoe 26.3.1 et les utilisateurs de MacBook Neo exécutant la version 26.3.2.
Il suffit aux utilisateurs de vérifier si l'option « Améliorations de sécurité en arrière-plan » estactivée.
Pour les utilisateurs d'iPhone et d'iPad, ce paramètre se trouve dans la section « Privacy sécurité » ; il suffit de faire défiler vers le bas et de rechercher le bouton « Améliorations de sécurité en arrière-plan ».
Sur un Mac macOS Tahoe 26.3.+ uniquement), vous pouvez vérifier en suivant ces instructions :
- Cliquez sur le menu Apple > Paramètres système.
- Dans la barre latérale, cliquez sur Privacy et sécurité.
- Faites défiler vers le bas à droite et cliquez sur « Améliorations de la sécurité en arrière-plan ».
- Assurez-vous que l'option « Installation automatique » est activée. Si elle est désactivée, votre Mac recevra Mac les améliorations de sécurité en arrière-plan tant que ces correctifs n'auront pas été intégrés à une mise à jour complète ultérieure.
L'option « Installer » visible sur ma capture d'écran vous permet d'accélérer le processus en cliquant dessus. Mais vous pouvez tout aussi bien attendre que cela se fasse automatiquement.
Après la mise à jour, la version de votre système d'exploitation devrait indiquer 26.3.1 (a), sauf pour les MacBook Neo, qui devraient afficher la version 26.3.2 (a).
Nous ne nous contentons pas d'informer sur la sécurité des téléphones, nous la fournissons.
Les risques de cybersécurité ne devraient jamais se propager au-delà d'un titre. Éloignez les menaces de vos appareils mobiles en téléchargeant dès aujourd'hui Malwarebytes pour iOS et Malwarebytes pour Android.
