Avec iOS 26.4, Apple déploie une série dense de correctifs de sécurité, totalisant plus de 35 vulnérabilités. Parmi ce lot, plusieurs failles se distinguent par leur impact potentiel sur la protection des données et l’isolation des apps.
La mise à jour a été publiée mardi, après une phase de bêta, et s’accompagne de notes de sécurité détaillées sur le site d’Apple.
Les correctifs les plus marquants
- Contournement de la protection en cas de vol : la faille CVE-2026-28895 permettait, avec un accès physique à l’iPhone, de contourner l’accès biométrique à certaines apps en se contentant du code de l’appareil, y compris lorsque la fonction Stolen Device Protection était activée. Les apps verrouillées via l’option « Require Face ID » pouvaient ainsi rester accessibles au code. Apple indique avoir renforcé les contrôles, et le problème est corrigé.
- Accès local au Trousseau : CVE-2026-28864 est décrite comme un défaut de vérification des permissions pouvant permettre à un attaquant local d’accéder à des éléments du trousseau (Keychain). Le trousseau centralisant mots de passe, clés de chiffrement et jetons, l’enjeu relève d’une élévation de privilèges à fort impact dans un scénario d’accès physique.
- Réglages de confidentialité de Mail potentiellement inefficaces : CVE-2026-20692 indique que « Hide IP Address » et « Block All Remote Content » pouvaient ne pas s’appliquer à l’ensemble des contenus des e-mails. En pratique, certaines charges distantes pouvaient encore être récupérées, et l’adresse IP ne pas être systématiquement masquée.
- Sortie de sandbox via l’impression : CVE-2026-20688 corrige un problème de gestion de chemins dans le framework Printing, composant lié à AirPrint. La possibilité pour une app de s’extraire de sa sandbox reste un point critique, souvent exploitable comme maillon d’une chaîne d’attaque.
- Série de failles WebKit : iOS 26.4 corrige plusieurs vulnérabilités affectant WebKit, dont un contournement de la Same Origin Policy (CVE-2026-20643), un contournement de Content Security Policy (CVE-2026-20665) et un bug permettant à un site malveillant de traiter du contenu web restreint en dehors de la sandbox (CVE-2026-28859).
Ce qu’Apple indique sur l’exposition
Apple ne signale pas, dans ces notes, d’exploitation active de ces vulnérabilités. La combinaison d’un contournement de Stolen Device Protection, de problèmes liés au trousseau et d’écarts possibles sur la confidentialité de Mail donne toutefois à iOS 26.4 un profil de correctifs plus sensible que la moyenne pour une mise à jour intermédiaire.
La liste complète des correctifs pour iOS 26.4, iPadOS 26.4, macOS 26.4, tvOS 26.4 et les autres plateformes est disponible sur la page officielle des mises à jour de sécurité d’Apple : support.apple.com.
