iPhone, iPad et certaines Apple Watch sont touchés par une nouvelle vulnérabilité matérielle impossible à corriger par mise à jour. Elle concerne plusieurs appareils Apple plus anciens équipés de puces A12, A13, S4 et S5. Pour la plupart des utilisateurs, le risque reste limité, mais les modèles concernés ne pourront pas recevoir de correctif logiciel.
Une faille matérielle impossible à corriger
Des chercheurs en cybersécurité ont identifié une vulnérabilité jugée sérieuse dans certaines puces Apple plus anciennes.
Baptisée usbliter8, elle vise le SecureROM, le code de démarrage non modifiable intégré directement au processeur lors de la fabrication.
Comme cette partie est gravée dans le matériel, Apple ne peut pas corriger la faille avec une simple mise à jour d’iOS, d’iPadOS ou de watchOS.
Les appareils Apple concernés
La vulnérabilité touche plusieurs modèles encore utilisés :
- iPhone XR, XS et XS Max
- iPhone 11, 11 Pro et 11 Pro Max
- iPhone SE de 2e génération
- iPad Air de 3e génération
- iPad mini de 5e génération
- iPad de 8e et 9e génération
- Apple Watch Series 4
- Apple Watch Series 5
- Apple Watch SE de 1re génération
- Apple TV 4K de 2e génération
- Studio Display
Les appareils équipés d’une puce A11, comme l’iPhone 8 et l’iPhone X, ne sont pas concernés. Les modèles dotés d’une puce A14 ou plus récente semblent également épargnés.
Les mots de passe et les clés de chiffrement restent protégés
Cette faille ne touche pas le Secure Enclave, le composant chargé de protéger les mots de passe, les données biométriques et les clés de chiffrement.
L’exploitation de usbliter8 demande aussi un accès physique à l’appareil et de solides compétences techniques. Il ne s’agit donc pas d’une attaque facile à mener à distance.
Apple ne peut pas publier de correctif
Les chercheurs de Paradigm Shift ont collaboré avec Apple avant de rendre leurs travaux publics.
Le problème vient du fait que la vulnérabilité se trouve dans un code inscrit directement dans le silicium lors de la fabrication. Une fois l’appareil produit, cette partie ne peut plus être modifiée.
Pour les utilisateurs les plus exposés, la recommandation est claire : passer à un appareil plus récent si la sécurité est une priorité.
Un risque faible pour la plupart des utilisateurs
La majorité des utilisateurs n’a pas besoin de remplacer son appareil immédiatement.
Avec un mot de passe robuste et un minimum de prudence, notamment en évitant de laisser son iPhone, son iPad ou son Apple Watch sans surveillance, le risque réel reste faible.
La situation est différente pour les personnes qui utilisent l’un de ces modèles dans un cadre professionnel ou pour manipuler des données sensibles. Dans ce cas, l’absence définitive de correctif peut justifier un changement d’appareil.
Samuel Le Goff suit l’actualité des smartphones, des systèmes d’exploitation mobiles et de l’intelligence artificielle depuis plus de 14 ans. Il couvre notamment Samsung, Xiaomi, Apple, Android, iOS et les grandes tendances du numérique.
