Le 25 août 2025, Apple a publié une mise à jour de sécurité urgente pour atténuer une vulnérabilité critique zero-click (CVE-2025-43300) dans son framework Image I/O. Cette faille permettait le traitement de fichiers image spécialement conçus pouvant déclencher des écritures mémoire hors limites et l’exécution de code arbitraire sans interaction utilisateur. Ce type d’exploitation, souvent qualifié de zero-click, est particulièrement dangereux pour les détenteurs de cryptomonnaies, car il peut être utilisé pour compromettre les applications de portefeuille et accéder aux clés privées stockées sur un appareil.
L’avis d’Apple indiquait qu’il existe des preuves que la vulnérabilité a été exploitée dans des attaques sophistiquées en conditions réelles contre des cibles de grande valeur. Les plateformes affectées comprennent iOS 18.6.2, iPadOS 18.6.2 et 17.7.10, macOS Sequoia 15.6.1, Sonoma 14.7.8 et Ventura 13.7.8. La société a renforcé la vérification des limites dans la bibliothèque Image I/O pour corriger les défauts de gestion mémoire qui permettaient les écritures hors bornes.
Les experts en sécurité avertissent que la nature zero-click de l’exploit élimine les déclencheurs habituels liés à l’utilisateur, tels que l’ouverture d’un document ou le clic sur un lien. Au lieu de cela, des acteurs malveillants peuvent intégrer des charges malicieuses dans les métadonnées des images distribuées via des plateformes de messagerie comme iMessage. À la réception, les routines automatiques de rendu d’image de l’appareil traiteraient les données malveillantes, conduisant à la compromission de l’appareil et au vol potentiel d’informations sensibles — y compris les identifiants de portefeuilles de cryptomonnaies, les phrases de récupération et les jetons d’authentification d’échange.
Juliano Rizzo, fondateur de la société de cybersécurité Coinspect, a souligné le risque accru pour les utilisateurs d’actifs numériques. Il a conseillé aux cibles de grande valeur de faire immédiatement tourner leurs clés privées et de migrer leurs avoirs vers des portefeuilles matériels. Pour les utilisateurs généraux, Apple a recommandé d’installer rapidement les mises à jour de sécurité et de vérifier les versions logicielles installées, avertissant que retarder le patch pourrait exposer les appareils à de nouvelles attaques.
Le fournisseur d’analyses blockchain CertiK a souligné que des vulnérabilités zero-click similaires ont été exploitées par des acteurs étatiques lors de campagnes précédentes. La nouvelle faille d’Apple souligne la nécessité d’une recherche continue sur les vulnérabilités et de pratiques de divulgation proactive. Il s’agit du sixième zero-day traité par Apple en 2025, un rythme record reflétant les capacités croissantes des adversaires dans la nature.
Les organisations gérant des opérations de cryptomonnaies à grande échelle sont invitées à mener des audits approfondis des appareils, à appliquer des politiques strictes de mise à jour et à envisager des solutions de défense contre les menaces mobiles capables de détecter des comportements anormaux indicatifs d’exploits zero-click. Les développeurs de logiciels dans l’écosystème crypto sont également conseillés d’isoler les processus de portefeuille et de minimiser les surfaces d’attaque en découplant les opérations critiques de signature du code applicatif à usage général.
Avec le déploiement du correctif désormais en cours, Apple a réaffirmé son engagement envers une atténuation rapide des vulnérabilités et une collaboration avec la communauté de recherche en sécurité. Les utilisateurs sont dirigés vers les canaux de support d’Apple pour les instructions de mise à jour et davantage de conseils pour sécuriser les appareils et les actifs numériques dans un paysage de menaces en constante évolution.
Commentaires (0)