Sécurité : Fuite du bac à sable WebKit dans Safari, iOS et iPadOS (CVE-2026-43725)

Bulletin de sécurité pour Apple

Introduction

Apple a publié le 29 juin 2026 une nouvelle vague de correctifs pour Safari, iOS et iPadOS. Parmi la trentaine de failles corrigées, la vulnérabilité CVE-2026-43725 attire particulièrement l’attention : elle permet à un site web malveillant de traiter du contenu web restreint en dehors du bac à sable (sandbox) WebKit. En clair, une simple visite d’une page piégée peut suffire à contourner l’une des principales barrières de sécurité du navigateur. Ce bulletin explique en termes accessibles ce que cette faille change pour les utilisateurs et quelles versions installer.

Éléments impactés

  • Safari 26.5.2 sur macOS Sonoma et macOS Sequoia
  • iOS 26.5.2 — iPhone 11 et modèles ultérieurs
  • iPadOS 26.5.2 — iPad Pro 12,9 pouces (3ᵉ génération) et ultérieurs, iPad Pro 11 pouces (1ʳᵉ génération) et ultérieurs, iPad Air (3ᵉ génération) et ultérieurs, iPad (8ᵉ génération) et ultérieurs, iPad mini (5ᵉ génération) et ultérieurs

Date de publication des correctifs : 29 juin 2026 (source : support.apple.com).

Détails de la vulnérabilité

CVE-2026-43725 — WebKit Sandbox Escape

Publication : 2026-06-29 | Composant : WebKit

  • Impact officiel Apple : « A malicious website may be able to process restricted web content outside the sandbox » (un site web malveillant peut être en mesure de traiter du contenu web restreint hors du bac à sable).
  • Description officielle Apple : le problème a été corrigé par une validation d’entrée améliorée (« The issue was addressed with improved input validation »).
  • Chercheur crédité : Luke Francis.
  • Référence WebKit Bugzilla : 312832.
  • Score CVSS : Je ne sais pas. Apple ne publie pas systématiquement un score CVSS dans ses bulletins de sécurité, et aucun score officiel n’est disponible dans la fiche support.apple.com au moment de la rédaction.
  • Exploitation active connue : Je ne sais pas. Apple ne mentionne pas d’exploitation active sur ces fiches.

Ce que cela signifie pour l’utilisateur

Le bac à sable (« sandbox ») est une zone isolée où Safari exécute le contenu des sites web. Il empêche un site de fouiller dans les fichiers de l’appareil ou dans les données d’autres onglets. Une évasion du bac à sable (« sandbox escape ») est donc l’un des scénarios les plus sérieux : elle peut, seule ou combinée à d’autres failles, devenir le premier maillon d’une chaîne d’exploitation menant à des privilèges plus élevés. Voilà pourquoi Apple traite ces failles comme prioritaires, même sans preuve d’exploitation active.

Recommandations

  1. Installer les mises à jour immédiatement : Safari 26.5.2, iOS 26.5.2 et iPadOS 26.5.2 sur les appareils compatibles.
  2. Vérifier les mises à jour automatiques : Réglages > Général > Mise à jour logicielle sur iPhone/iPad, ou Réglages système > Général > Mise à jour de logiciels sur Mac.
  3. Redémarrer l’appareil après installation pour s’assurer que tous les composants WebKit sont bien rechargés.

Tableau des références

Titre de la page du support techniqueURL officielleDate de publication
About the security content of Safari 26.5.2https://support.apple.com/en-us/12768529 juin 2026
About the security content of iOS 26.5.2 and iPadOS 26.5.2https://support.apple.com/en-us/12759429 juin 2026
Apple security releaseshttps://support.apple.com/en-us/100100Mise à jour continue

Avis de non-responsabilité : Cette publication est générée automatiquement à des fins purement informatives. Bien que les données soient issues de veilles technologiques, elles ne sauraient se substituer aux publications officielles. Pour toute décision relative à la sécurité de vos systèmes, il convient de vérifier et de valider les informations fournies en consultant directement les bulletins officiels du NIST (National Institute of Standards and Technology) et d’Apple Security.

Bulletin de sécurité pour Apple

Sécurité : Deux vulnérabilités affectant Safari et les systèmes Apple

Introduction

Apple a publié des correctifs pour deux vulnérabilités affectant Safari et les systèmes d’exploitation de l’écosystème Apple. Une vulnérabilité de contournement de mécanisme de sécurité web (CVE-2026-28907, CVSS 8.1 – HAUTE) et une fuite d’informations via cross-origin (CVE-2026-43700, CVSS 6.5 – MOYENNE) nécessitent une mise à jour prioritaire de votre système.

Éléments impactés

CVE-2026-28907 : Contournement de Content Security Policy dans Safari

Publication : 11 mai 2026

Systèmes affectés :

  • Safari 26.5
  • iOS 18.7.9 et 26.5
  • iPadOS 18.7.9 et 26.5
  • macOS Tahoe 26.5
  • tvOS 26.5
  • visionOS 26.5
  • watchOS 26.5

Gravité : CVSS 8.1 (élevée)

CVE-2026-43700 : Fuite d’informations via cross-origin dans WebKit

Publication : 29 juin 2026

Systèmes affectés :

  • Safari 26.5.2
  • iOS 26.5.2
  • iPadOS 26.5.2
  • macOS Tahoe 26.5.2

Gravité : CVSS 6.5 (moyenne)

Détails techniques

CVE-2026-28907 : Contournement de Content Security Policy

Description : Une validation d’entrée inadéquate dans le moteur de rendu web des produits Apple permet à un attaquant de créer du contenu web malveillant pour contourner ou désactiver les protections Content Security Policy (CSP). La CSP est un mécanisme de sécurité fondamental qui prévient les injections XSS et les attaques par injection de code.

Impact : En contournant la CSP, un attaquant peut exécuter du code JavaScript malveillant dans le contexte d’un site victime, donnant accès aux données sensibles, aux cookies de session, et permettant des opérations non autorisées au nom de l’utilisateur.

Vecteur d’attaque : Réseau (AV:N), interaction utilisateur requise (UI:R).

Recommandation : Mettre à jour Safari et tous les systèmes Apple vers les versions corrigées listées ci-dessus. Cette mise à jour ne peut pas être différée en raison du CVSS élevé (8.1).

CVE-2026-43700 : Fuite d’informations via cross-origin

Description : Une faille dans le suivi des origines (security origins) de WebKit permet à une page malveillante d’exploiter une vérification cross-origin insuffisante pour accéder à des données sensibles provenant d’un autre domaine. Cela contourne la politique de même-origine (Same-Origin Policy), un mécanisme fondamental de sécurité des navigateurs.

Impact : Un attaquant créant un site malveillant peut inciter un utilisateur à le visiter et ainsi extraire des informations confidentielles (données de compte, jetons de session, informations personnelles) provenant de sites tiers visités par l’utilisateur.

Vecteur d’attaque : Réseau, interaction utilisateur requise.

Recommandation : Mettre à jour Safari et les systèmes iOS/iPadOS/macOS vers les versions corrigées listées ci-dessus.

Résumé des actions recommandées

Priorité : Appliquez les mises à jour immédiatement. CVE-2026-28907 présente un risque élevé (CVSS 8.1) et nécessite une action rapide.

Tableau des références

Toutes les sources utilisées pour ce bulletin :

Apple Security Updates (Index) : https://support.apple.com/en-us/100100

About the security content of Safari 26.5 : https://support.apple.com/en-us/127121

About the security content of iOS 26.5 and iPadOS 26.5 : https://support.apple.com/en-us/127110

About the security content of Safari 26.5.2 : https://support.apple.com/en-us/127685

About the security content of iOS 26.5.2 and iPadOS 26.5.2 : https://support.apple.com/en-us/127594

About the security content of macOS Tahoe 26.5.2 : https://support.apple.com/en-us/127595

NVD – CVE-2026-28907 : https://nvd.nist.gov/vuln/detail/CVE-2026-28907

NVD – CVE-2026-43700 : https://nvd.nist.gov/vuln/detail/CVE-2026-43700

Sécurité : Faille de gestion mémoire dans Safari et les systèmes Apple (CVE-2026-43663)

Apple a publié des correctifs le 29 juin 2026 pour corriger une vulnérabilité de gestion mémoire affectant Safari, iOS, iPadOS et macOS Tahoe. Cette faille, identifiée sous le numéro CVE-2026-43663, représente un risque modéré (CVSS 6.5) pour les utilisateurs Apple. Le traitement de contenu web malveillant peut entraîner un crash du navigateur ou du processus de rendu, ouvrant potentiellement la voie à une exécution de code arbitraire.

Les systèmes affectés incluent Safari, iOS 26.5.2, iPadOS 26.5.2 et macOS Tahoe 26.5.2. Les correctifs officiels sont disponibles depuis le 29 juin 2026.

Éléments impactés

Système/NavigateurVersion affectéeVersion correctiveDate de publication
Safari< 26.5.2Safari 26.5.229 juin 2026
iOS< 26.5.2iOS 26.5.229 juin 2026
iPadOS< 26.5.2iPadOS 26.5.229 juin 2026
macOS Tahoe< 26.5.2macOS Tahoe 26.5.229 juin 2026

Analyse détaillée

CVE-2026-43663 : Faille de gestion mémoire dans WebKit

  • Identifiant : CVE-2026-43663
  • Score CVSS : 6.5 (Gravité MOYENNE)
  • Type de vecteur : Réseau / Interface utilisateur
  • Publication officielle : 29 juin 2026

Description officielle Apple : « Le traitement de contenu web conçu de manière malveillante peut entraîner un crash inattendu du processus. Le problème a été résolu par une meilleure gestion de la mémoire dans Safari 26.5.2, iOS 26.5.2, iPadAS 26.5.2 et macOS Tahoe 26.5.2. »

Contexte technique : Cette vulnérabilité affecte le moteur de rendu web WebKit, utilisé par Safari et les navigateurs embarqués dans les systèmes d’exploitation Apple. Elle combine deux faiblesses critiques : une restriction insuffisante des opérations aux limites de la mémoire tampon (CWE-119) et une utilisation de mémoire libérée (use-after-free, CWE-416).

Un attaquant peut exploiter cette chaîne de vulnérabilités en créant une page web contenant du contenu spécialement conçu qui, une fois traité par le navigateur, force l’accès à une zone mémoire déjà libérée.

  • Impact immédiat : Déni de service (crash du processus de rendu)
  • Impact potentiel : Cette classe de vulnérabilités représente un vecteur d’attaque classique vers l’exécution de code arbitraire, particulièrement sensible sur les appareils mobiles

Chercheurs ayant signalé la faille : Soyeon Park, Amy Burnett, Khai Tran, sherkito, Kota Toda, HexRabbit (@h3xr4bb1t) et NiNi (@terrynini38514) de DEVCORE Research Team ; Tristan Madani (@TristanInSec) de Talence Security ; Brian Carpenter.

Recommandations pour les utilisateurs

  1. Mettre à jour immédiatement vers les versions correctives : Safari 26.5.2 ou ultérieur, iOS 26.5.2 ou ultérieur, iPadAS 26.5.2 ou ultérieur, macOS Tahoe 26.5.2 ou ultérieur
  2. Vérifier les paramètres de mise à jour automatique pour s’assurer que les correctifs seront installés dès leur disponibilité
  3. Redémarrer les appareils après l’installation des mises à jour pour appliquer les modifications de sécurité
  4. Éviter la visite de sites web suspects ou non fiables en attendant la mise à jour, en particulier sur les appareils mobiles

Références officielles

Sécurité : Validation d’entrée insuffisante dans le kernel Apple (CVE-2026-39868)

Introduction

Apple a corrigé une vulnérabilité critique de validation d’entrée dans le kernel affectant iOS, iPadOS et macOS Tahoe. La faille (CVE-2026-39868) permet à une application malveillante d’accéder localement au système pour corrompre la mémoire du kernel ou provoquer un arrêt inattendu du système. Les corrections ont été publiées le 29 juin 2026.

CVE détaillée : CVE-2026-39868

Identification

  • Identifiant : CVE-2026-39868
  • Date de publication : 29 juin 2026
  • Score CVSS : Non disponible
  • Vecteur d’exploitation : Local (application malveillante)
  • Impact : Escalade de privilèges, corruption d’intégrité système

Description officielle

La vulnérabilité réside dans une validation insuffisante des paramètres d’entrée au niveau du kernel Apple. Un développeur d’application malveillante peut exploiter cette faille pour accéder aux ressources système privilégiées sans autorisation de l’utilisateur.

Contenu officiel Apple : « This issue was addressed with improved input validation. This issue is fixed in iOS 26.5.2 and iPadOS 26.5.2, macOS Tahoe 26.5.2. An app may be able to cause unexpected system termination or corrupt kernel memory. »

Produits affectés et versions correctives

SystèmeVersions affectéesCorrectionDate
iOS< 26.5.2iOS 26.5.229 juin 2026
iPadOS< 26.5.2iPadOS 26.5.229 juin 2026
macOS Tahoe< 26.5.2macOS Tahoe 26.5.229 juin 2026

Contexte de découverte

La vulnérabilité a été créditée à des chercheurs en sécurité de premier plan provenant de STAR Labs, Positive Technologies et Baidu Security, soulignant la complexité technique et l’importance critique de cette faille.

Bien que le vecteur d’exploitation soit local (installation d’une application requise), l’impact potentiel est sévère dans les environnements d’entreprise où le contrôle des applications constitue un enjeu critique.

Recommandations

  1. Mise à jour immédiate : Tous les utilisateurs d’iOS, iPadOS et macOS Tahoe doivent mettre à jour vers les versions 26.5.2 dès réception de la notification Apple.
  2. Contrôle des applications (entreprises) : Renforcer la politique d’installation d’applications pour limiter les risques d’exécution de code malveillant.
  3. Surveillance des exploits : Vérifier la base de données CISA des vulnérabilités exploitées pour tout signe d’exploitation active.

Sources officielles

Sécurité : Faille kernel critique affectant iOS, iPadOS et macOS (CVE-2026-43724)

Une nouvelle vulnérabilité affectant le kernel d’Apple a été corrigée dans les mises à jour iOS 26.5.2, iPadOS 26.5.2 et macOS Tahoe 26.5.2. Cette faille de haute gravité (CVSS 7.8) permet à une application malveillante d’effectuer des écritures en mémoire kernel, contournant les protections de sécurité du système. Aucune interaction utilisateur n’est requise pour exploiter cette faille.

Systèmes et produits impactés

La vulnérabilité CVE-2026-43724 affecte les appareils suivants en versions antérieures à :

  • iOS : versions antérieures à 26.5.2
  • iPadOS : versions antérieures à 26.5.2
  • macOS Tahoe : versions antérieures à 26.5.2

Les correctifs sont disponibles depuis le 29 juin 2026 pour tous ces systèmes.

Appareils affectés (iOS/iPadOS)

  • iPhone 11 et ultérieur
  • iPad Pro 12,9 pouces (3e génération et ultérieures)
  • iPad Pro 11 pouces (1ère génération et ultérieures)
  • iPad Air (3e génération et ultérieures)
  • iPad (8e génération et ultérieures)
  • iPad mini (5e génération et ultérieures)

Détails techniques

Publication : 29 juin 2026 | Composant : Kernel Apple

Identifiant : CVE-2026-43724
Score CVSS : 7.8 (HIGH)
Chercheur : Hyunwoo Kim (@v4bel)

Description

CVE-2026-43724 résulte d’une validation insuffisante des données d’entrée dans le kernel Apple. Une application non autorisée peut exploiter ce défaut pour effectuer des écritures en mémoire kernel, ou pour divulguer des états sensibles du kernel. Le problème a été résolu par une validation améliorée des entrées.

Cette vulnérabilité forme une primitive d’escalade de privilèges permettant aux attaquants de contourner les mécanismes de sécurité cœurs du système d’exploitation. Elle est particulièrement dangereuse car elle ne nécessite pas d’interaction utilisateur et peut être exploitée par une application standard.

Vecteur d’attaque

  • Vecteur : LOCAL
  • Complexité : FAIBLE
  • Privilèges requis : FAIBLES
  • Interaction utilisateur : AUCUNE
  • Impact confidentiel : ÉLEVÉ
  • Impact intégrité : ÉLEVÉ
  • Impact disponibilité : ÉLEVÉ

Recommandations

Action immédiate requise :

  • Vérifiez la version installée de votre appareil (Réglages > Général > Informations)
  • Installer immédiatement les mises à jour disponibles :iOS 26.5.2 ou ultérieur, iPadOS 26.5.2 ou ultérieur, macOS Tahoe 26.5.2 ou ultérieur
  • Redémarrez votre appareil après l’installation pour activer le correctif

Cette faille affecte des millions de dispositifs en production. Apple classe cette mise à jour parmi ses priorités de sécurité critiques.

Sources

Titre de la pageURL officielleDate
About the security content of macOS Tahoe 26.5.2https://support.apple.com/en-us/12759529 juin 2026
About the security content of iOS 26.5.2 and iPadOS 26.5.2https://support.apple.com/en-us/12759429 juin 2026
CVE-2026-43724 – OpenCVEhttps://app.opencve.io/cve/CVE-2026-4372429 juin 2026

macOS Terminal : rm : supprimer un fichier sans détour

Notre commande Unix du Vendredi soir

Notre commande Unix du Vendredi soir : rm

Vous connaissez ce moment de flottement.

Vous venez de générer trente captures d’écran pour un article, elles s’accumulent dans Documents, et la Corbeille commence à ressembler à un grenier oublié.

Vider la Corbeille depuis le Finder fonctionne, mais dès que vos fichiers sont profondément rangés dans une arborescence, cliquer devient laborieux.

Le Terminal offre une alternative précise, rapide et sans détour : la commande rm, pour remove.

Elle supprime le fichier immédiatement, sans passer par la Corbeille.

Cette efficacité est aussi son piège. Un rm mal formulé peut effacer en une fraction de seconde des documents impossibles à récupérer.

C’est exactement pour cette raison que rm existe en version prudente : rm -i.

Cette variante vous demande une confirmation avant chaque suppression, transformant une commande brute en outil professionnel maîtrisé.

Dans ce guide, nous allons apprendre à supprimer un fichier proprement, à activer les garde-fous adaptés, et à combiner rm avec d’autres commandes pour automatiser votre ménage numérique.

Anatomie d’une commande de suppression sous Unix

La commande rm fait partie du socle historique des utilitaires Unix.

Elle est présente sur macOS depuis les toutes premières versions du système et respecte la norme POSIX.

Son rôle est de retirer une entrée de fichier du système de fichiers.

La syntaxe générale telle qu’elle apparaît dans la man page officielle Apple est la suivante :

rm [-f | -i] [-dIRrvWx] fichier ...

Les crochets indiquent que les options sont facultatives.

Vous pouvez utiliser rm seul, ou l’accompagner d’un ou plusieurs indicateurs qui modifient son comportement.

Voici les options les plus utilisées au quotidien sur macOS, telles que définies dans la documentation Apple.

L’option -i demande une confirmation avant chaque suppression, quel que soit le fichier concerné.

L’option -f force la suppression sans confirmation, même pour les fichiers en lecture seule. Cette option annule tout -i placé avant elle.

L’option -I propose un compromis. Elle demande une seule confirmation quand plus de trois fichiers sont concernés, ou lorsqu’un dossier est supprimé récursivement.

L’option -R supprime récursivement un dossier et tout ce qu’il contient. Elle implique automatiquement l’option -d qui autorise la suppression des dossiers.

L’option -r est strictement équivalente à -R. Les deux minuscules et majuscules produisent le même résultat.

L’option -v active le mode verbeux. Chaque fichier est affiché au moment où il est supprimé.

L’option -d autorise la suppression d’un dossier vide sans mode récursif.

L’option -x empêche rm de traverser les points de montage. Utile lorsque vous manipulez un disque externe monté à l’intérieur d’un autre volume.

Un détail à connaître concerne l’option -P héritée de FreeBSD. Elle prétendait écraser les fichiers avant suppression, mais la man page macOS indique clairement que cette option n’a plus aucun effet et est conservée uniquement pour compatibilité rétroactive.

Trois scénarios concrets pour prendre rm en main

Prenons trois situations que tout utilisateur macOS rencontre tôt ou tard.

Scénario 1 : nettoyer un dossier de captures d’écran obsolètes.

Vous avez capturé une trentaine d’écrans sur votre MacBook Pro pour illustrer un article de blog, et vous voulez repartir sur une base propre.

rm /Users/henrido/Documents/Captures/screenshot-2026-06-01.png

Ici, rm supprime uniquement le fichier nommé, immédiatement, sans confirmation.

Aucun retour dans le Terminal signifie que la commande a réussi.

Scénario 2 : supprimer un fichier avec confirmation.

Vous n’êtes plus tout à fait certain que ce fichier de travail est vraiment inutile. Vous voulez une dernière chance de dire non.

rm -i /Users/henrido/Documents/Projets/brouillon-final.pages

Le Terminal affiche alors une question comme remove brouillon-final.pages?.

Vous tapez y pour confirmer, ou n pour annuler.

Cette microseconde de réflexion évite bien des drames.

Scénario 3 : vider récursivement un dossier temporaire.

Vous avez créé un dossier de tests avec plusieurs sous-dossiers et vous voulez tout effacer.

rm -r /Users/henrido/Documents/Test-2026/

Cette commande supprime le dossier Test-2026 ainsi que l’intégralité de son contenu.

Si vous voulez conserver un dernier filet de sécurité, ajoutez -i :

rm -ri /Users/henrido/Documents/Test-2026/

Le Terminal vous demandera alors une confirmation pour chaque élément traversé, dossier par dossier, fichier par fichier.

Sur une arborescence volumineuse, cette approche devient rapidement fastidieuse. C’est là qu’entre en scène l’option -I en majuscule.

Une variante moins connue : l’option -I et le pipe avec find

Beaucoup d’utilisateurs découvrent tardivement l’option -I en majuscule, qui apporte un équilibre intéressant entre sécurité et confort.

Contrairement à -i qui demande une confirmation par fichier, l’option -I ne pose qu’une seule question, et uniquement dans deux cas précis : lorsque vous demandez la suppression de plus de trois fichiers en une seule commande, ou lorsque vous supprimez récursivement un dossier.

Cette option est particulièrement utile dans les scripts que vous voulez exécuter en semi-automatique.

Exemple concret sur un iMac utilisé pour la retouche photo :

rm -IR /Users/henrido/Pictures/Import-Brut/

Le Terminal affichera une seule question du type examine files in directory Import-Brut? (y/n).

Répondez y et la totalité disparaît sans nouvelle interruption.

Autre combinaison très puissante : rm chaîné avec la commande find via un pipe.

Cette approche permet de cibler des fichiers selon des critères précis, comme leur ancienneté ou leur extension.

Imaginons que vous souhaitiez supprimer tous les fichiers .DS_Store présents dans votre dossier Documents :

find /Users/henrido/Documents -name ".DS_Store" -type f -delete

Ici, find se charge à la fois de la recherche et de la suppression grâce à son option -delete.

Si vous préférez utiliser rm explicitement pour garder un contrôle plus lisible, la formulation suivante fonctionne aussi :

find /Users/henrido/Documents -name ".DS_Store" -type f -exec rm -v {} \;

L’option -v de rm affichera chaque fichier supprimé, ce qui vous permet de vérifier visuellement le résultat.

Attention à un point crucial. La commande rm ne passe jamais par la Corbeille macOS.

Contrairement au raccourci Command-Suppression du Finder, il n’existe aucun moyen de restaurer un fichier supprimé avec rm depuis l’interface graphique.

Une seule solution : disposer d’une sauvegarde Time Machine à jour ou d’une copie sur un service cloud comme iCloud Drive.

Le réflexe à installer une fois pour toutes

La commande rm est un couteau à double tranchant.

Elle brille par sa rapidité et sa précision, mais elle ne pardonne aucune erreur de saisie.

L’astuce la plus utile pour un utilisateur macOS soucieux de sa sérénité consiste à créer un alias permanent dans son fichier de configuration shell, pour que rm demande systématiquement une confirmation.

Cette approche sera l’objet d’un futur article dédié à la commande alias.

En attendant, prenez l’habitude de taper rm -i par défaut sur vos fichiers importants, et rm -I sur les opérations récursives.

Testez toujours vos commandes rm dans un dossier de test avant de les appliquer à vos données personnelles.

Le Terminal récompense la prudence par une efficacité redoutable, mais il ne fait aucun cadeau à la précipitation.

Vous avez une question, une idée ou une remarque ? Je serai ravi de vous lire ! ✉️ henrido@hdrapin.com