Le 25 août 2025, Apple a publié une mise à jour de sécurité urgente pour atténuer une vulnérabilité critique zero-click (CVE-2025-43300) dans son cadre Image I/O. Cette faille permettait le traitement de fichiers image spécialement conçus pouvant déclencher des écritures hors limites en mémoire et une exécution de code arbitraire sans interaction utilisateur. Ce type d'exploitation, souvent qualifié de zero-click, est particulièrement dangereux pour les détenteurs de cryptomonnaies, car il peut être utilisé pour compromettre les applications de portefeuille et accéder aux clés privées stockées sur un appareil.
L'avis d'Apple indique qu'il existe des preuves que la vulnérabilité a été exploitée dans des attaques sophistiquées dans le monde réel ciblant des personnes à haute valeur. Les plateformes affectées incluent iOS 18.6.2, iPadOS 18.6.2 et 17.7.10, macOS Sequoia 15.6.1, Sonoma 14.7.8 et Ventura 13.7.8. La société a renforcé la vérification des limites dans la bibliothèque Image I/O pour corriger les défauts de gestion de la mémoire qui permettaient ces écritures hors portée.
Les experts en sécurité alertent que la nature zero-click de l'exploit supprime les déclencheurs habituels liés à l'utilisateur, comme l'ouverture d'un document ou le clic sur un lien. À la place, les acteurs malveillants peuvent intégrer des charges utiles dans les métadonnées des images distribuées via des plateformes de messagerie telles qu'iMessage. À la réception, les routines automatiques de rendu d'image de l'appareil traiteraient ces données malveillantes, entraînant la compromission de l'appareil et le vol potentiel d'informations sensibles, y compris les identifiants des portefeuilles cryptographiques, les phrases de récupération et les jetons d'authentification des échanges.
Juliano Rizzo, fondateur de la société de cybersécurité Coinspect, a souligné le risque accru pour les utilisateurs d'actifs numériques. Il a conseillé aux cibles à haute valeur de faire immédiatement pivoter leurs clés privées et de migrer leurs avoirs vers des portefeuilles matériels. Pour les utilisateurs généraux, Apple recommande d'installer rapidement les mises à jour de sécurité et de vérifier les versions logicielles installées, avertissant que le retard dans l'application du correctif pourrait exposer les appareils à de nouvelles attaques.
Le fournisseur d'analyses blockchain CertiK a souligné que des vulnérabilités zero-click similaires ont été exploitées par des acteurs étatiques lors de campagnes précédentes. Cette nouvelle faille d'Apple souligne la nécessité d'une recherche continue sur les vulnérabilités et de pratiques de divulgation proactive. Il s'agit du sixième zero-day corrigé par Apple en 2025, un rythme record reflétant la montée en puissance des capacités adverses dans la nature.
Les organisations gérant des opérations de cryptomonnaies à grande échelle sont invitées à effectuer des audits approfondis des appareils, à appliquer des politiques strictes de mise à jour et à envisager des solutions de défense contre les menaces mobiles capables de détecter les comportements anormaux indicateurs d'exploits zero-click. Les développeurs logiciels dans l'écosystème crypto sont également encouragés à isoler les processus de portefeuille et à réduire les surfaces d'attaque en découplant les opérations critiques de signature du code applicatif général.
Avec le déploiement du correctif désormais en cours, Apple a réaffirmé son engagement à une atténuation rapide des vulnérabilités et à la collaboration avec la communauté de recherche en sécurité. Les utilisateurs sont invités à consulter les canaux de support d'Apple pour les instructions de mise à jour et des conseils supplémentaires sur la sécurisation des appareils et des actifs numériques face à un paysage de menaces en évolution.
Commentaires (0)