Jusqu’à la mise à jour du 16 avril 2025, les systèmes d’exploitation d’Apple – iOS, macOS, tvOS et visionOS – comportaient deux failles de sécurité majeures, activement exploitées dans des attaques ciblées. Parmi ces vulnérabilités figuraient les failles zero day, profondément enracinées dans les fondations logicielles et matérielles des terminaux Apple, qui ont mis à l’épreuve toute l’architecture sécuritaire de la marque à la pomme.
Core Audio et PAC : deux piliers fragilisés
La première vulnérabilité, référencée CVE-2025-31200, résidait dans Core Audio, un composant central utilisé par toutes les applications audio de l’écosystème Apple. Elle exploitait un parseur de flux multimédia excessivement permissif. En clair, un simple fichier audio piégé suffisait à provoquer un dépassement de mémoire tampon et à autoriser l’exécution de code arbitraire à distance.
La seconde, CVE-2025-31201, s’attaquait à l’un des remparts les plus avancés d’Apple Silicon : le Pointer Authentication Code (PAC). Ce mécanisme matériel, censé empêcher l’injection de code malveillant dans la mémoire, pouvait être contourné, permettant la redirection d’exécution à l’insu du système. Ensemble, ces deux failles ouvraient une brèche capable de désactiver les protections à la fois logicielles et matérielles – une rare conjonction dans l’univers Apple.
Une équation complexe à plusieurs variables
Plusieurs éléments ont rendu cette double vulnérabilité particulièrement délicate à corriger :
- Profondeur système : Core Audio est un framework fondamental, interfacé avec des centaines d’apps (FaceTime, Logic Pro, Siri…). Le moindre changement risquait d’affecter la stabilité sonore de l’ensemble de l’écosystème.
- Sophistication de l’attaque : en combinant un fichier audio piégé et une élévation de privilèges via PAC bypass, les attaquants pouvaient réaliser une attaque de type one-click, nécessitant peu ou pas d’interaction utilisateur.
- Verrou matériel contourné : PAC repose sur des clés cryptographiques uniques au processeur. Le contourner exigeait de réutiliser ou de prédire des signatures valides (MAC), une opération hautement technique généralement à la portée d’acteurs étatiques.
- Surface d’exposition massive : le code vulnérable était commun à cinq systèmes : iPhone, iPad, Mac M-series, Apple TV et Vision Pro. Cela a contraint Apple à déployer simultanément un patch multi-plateformes.
Les correctifs apportés par Apple
Apple a apporté quelques modifications en profondeur pour contenir le risque, telles que :
- Une refonte du parseur audio avec notamment la validation stricte des métadonnées et l’ajout d’une sandbox dédiée aux décodeurs ont rendu impossible la surcharge mémoire via fichiers malveillants.
- Le renforcement du PAC et la suppression du module vulnérable, et réintroduction d’une dérivation de clé contextuelle, rendant inexploitables les MAC réutilisés hors de leur environnement d’origine.
Conséquence : même en cas de tentative de heap spray, le pointeur d’instruction ne peut plus être resigné et détourné. Ces correctifs mettent fin aux attaques observées par Google Threat Analysis Group, qui visaient entre autres des journalistes et défenseurs des droits humains via des extraits audio modifiés.
Pourquoi ce patch a été un défi majeur pour Apple
Corriger ces failles sans casser l’expérience utilisateur relevait du défi. Il fallait maintenir les performances en temps réel de l’audio tout en retouchant une brique système transversale, tout en s’assurant de la compatibilité binaire avec l’ensemble des applications iOS. Pour cela, Apple a opté pour un re-signage automatique des binaires système lors de la mise à jour.
Ce que les utilisateurs doivent faire
Apple recommande l’installation immédiate des versions suivantes :
- iOS/iPadOS 18.4.1
- macOS 14.4.1
- tvOS 18.4.1
- visionOS 1.1.1
Les administrateurs IT peuvent utiliser un profil MDM d’urgence pour forcer l’application du patch sur les terminaux critiques. Il est également conseillé d’analyser les logs CrashReporter pour repérer tout comportement suspect lié à des fichiers audio ouverts avant la mise à jour.