Sécurité : Traçage d’utilisateurs par l’adresse IP dans iOS, iPadOS, macOS et visionOS (CVE-2026-28906)

Bulletin de sécurité Apple

Introduction

Apple a corrigé, dans sa vague de mises à jour de sécurité du 11 mai 2026, une vulnérabilité de confidentialité identifiée sous la référence CVE-2026-28906. Cette faille, présente dans plusieurs systèmes d’exploitation, permettait à un attaquant distant de pister un utilisateur en exploitant son adresse IP, en raison d’une gestion d’état défaillante. Le pistage par adresse IP est l’un des vecteurs d’atteinte à la vie privée qu’Apple combat activement, ce qui rend ce correctif particulièrement significatif pour l’ensemble de son écosystème.

Ce bulletin résume la nature du problème, les versions correctives, la portée de la vulnérabilité et les recommandations de mise à jour.

Éléments impactés

  • Systèmes affectés : iOS, iPadOS, macOS (Sonoma, Sequoia, Tahoe), visionOS
  • Versions correctives :
    • iOS 18.7.9 et iPadOS 18.7.9
    • iOS 26.5 et iPadOS 26.5
    • macOS Sonoma 14.8.7
    • macOS Sequoia 15.7.7
    • macOS Tahoe 26.5
    • visionOS 26.5
  • Date de publication des correctifs : 11 mai 2026

Détails

CVE-2026-28906 — Traçage d’utilisateurs via l’adresse IP

Publication : 2026-05-11 | Framework : gestion d’état système (state management)

Description officielle Apple (traduction) : « Ce problème a été traité par une amélioration de la gestion d’état. Un attaquant pourrait être en mesure de pister les utilisateurs via leur adresse IP. »

Analyse : La vulnérabilité est classée sous CWE-359 (Exposition d’informations personnelles privées à un acteur non autorisé). Elle n’exige ni authentification, ni interaction de l’utilisateur, et peut être exploitée à distance sur le réseau. Concrètement, ce type d’anomalie survient lorsque des identifiants réseau ou des sessions ne sont pas correctement isolés ou réinitialisés entre différents contextes, laissant l’adresse IP réelle exposée à des tiers. Apple n’a pas publié le détail technique du mécanisme.

Gravité : Le score CVSS n’a pas encore été attribué par le NIST au moment de la publication (statut NVD : Received). Aucun code d’exploitation public (proof-of-concept) n’a été rendu disponible.

Portée : La correction couvre à la fois la branche de support étendu iOS 18 et la branche 26 (dernières versions majeures), signalant une portée transverse à l’ensemble des plateformes récentes d’Apple.

Recommandation : Installer sans délai la mise à jour correspondant à votre système. Sur iPhone et iPad, ouvrir Réglages > Général > Mise à jour logicielle. Sur Mac, ouvrir Réglages Système > Général > Mise à jour de logiciels. Sur Apple Vision Pro, ouvrir Réglages > Général > Mise à jour logicielle.

Tableau des références

TitreURLDate de publication
NVD – CVE-2026-28906https://nvd.nist.gov/vuln/detail/CVE-2026-289062026-05-11
About the security content of iOS 26.5 and iPadOS 26.5https://support.apple.com/en-us/1271102026-05-11
About the security content of iOS 18.7.9 and iPadOS 18.7.9https://support.apple.com/en-us/1271112026-05-11
About the security content of macOS Tahoe 26.5https://support.apple.com/en-us/1271152026-05-11
About the security content of macOS Sequoia 15.7.7https://support.apple.com/en-us/1271162026-05-11
About the security content of macOS Sonoma 14.8.7https://support.apple.com/en-us/1271172026-05-11
About the security content of visionOS 26.5https://support.apple.com/en-us/1271202026-05-11
Apple security releaseshttps://support.apple.com/en-us/1001002026-05-11

Avis de non-responsabilité : Cette publication est générée automatiquement à des fins purement informatives. Bien que les données soient issues de veilles technologiques, elles ne sauraient se substituer aux publications officielles. Pour toute décision relative à la sécurité de vos systèmes, il convient de vérifier et de valider les informations fournies en consultant directement les bulletins officiels du NIST (National Institute of Standards and Technology) et d’Apple Security.

Bulletin de sécurité Apple