Apple : premier patch silencieux pour une faille WebKit
Apple déploie sa première mise à jour Background Security Improvements pour corriger CVE-2026-20643, une faille WebKit contournant la politique de même origine.
C'est quoi un patch silencieux d'Apple
Vous connaissez ces mises a jour d'iPhone qui vous demandent de redemarrer, parfois au pire moment ? Apple vient d'introduire quelque chose de nouveau : des mini-mises a jour de securite qui s'installent toutes seules, en arriere-plan, sans redemarrage. Ca s'appelle les Background Security Improvements, ou BSI.
Le 17 mars 2026, Apple a utilise ce systeme pour la toute premiere fois. L'objectif : corriger une faille de securite dans Safari et tous les navigateurs web sur iPhone, iPad et Mac.
La faille en question
Un chercheur en securite nomme Thomas Espach a decouvert un probleme dans WebKit. WebKit, c'est le moteur qui fait tourner Safari. Sur iPhone et iPad, tous les navigateurs (meme Chrome ou Firefox) utilisent WebKit sous le capot. Donc tout le monde etait concerne.
La faille, referencee CVE-2026-20643, permettait a un site web malveillant de lire les donnees d'un autre site ouvert dans votre navigateur. Imaginez que vous avez votre banque ouverte dans un onglet et que vous visitez un site piege dans un autre. Normalement, le site piege ne peut pas voir ce qui se passe dans l'onglet de votre banque. C'est une regle de securite appelee Same Origin Policy, la politique de meme origine. Cette faille cassait justement cette protection.
En clair, un attaquant pouvait potentiellement voler vos identifiants, lire vos emails ou acceder a des informations sensibles affichees dans votre navigateur, simplement en vous faisant visiter une page web piegee.
Comment Apple a reagi
Au lieu de publier une mise a jour classique qui aurait necessite un telechargement et un redemarrage, Apple a utilise son nouveau systeme BSI. Le correctif s'est installe automatiquement en arriere-plan sur tous les appareils compatibles.
Les appareils concernes sont ceux sous iOS 26.3.1, iPadOS 26.3.1, macOS 26.3.1 et macOS 26.3.2. Si votre appareil est a jour, vous avez probablement deja recu le correctif sans meme vous en rendre compte.
Ce qu'il faut savoir
Vous pouvez verifier si le patch a ete applique dans Reglages, puis Confidentialite et Securite. Apple deconseille fortement de desinstaller un BSI. Si vous le faites, vous perdez tous les patchs de securite silencieux precedents, pas seulement le dernier.
Si vous aviez desactive les mises a jour automatiques sur votre iPhone, iPad ou Mac, reactivez-les. Ce type de faille dans les navigateurs web fait partie des plus dangereuses car il suffit de visiter un mauvais site pour etre touche. Avec les BSI, Apple peut desormais reagir en quelques heures au lieu de quelques jours. C'est un progres concret pour la securite de vos appareils.
À lire aussi
Oracle publie un patch d'urgence pour une faille critique
Oracle corrige en urgence une vulnérabilité critique dans Identity Manager permettant une prise de contrôle à distance sans mot de passe.
CVE-2026-21992 : RCE critique dans Oracle Identity Manager
Oracle publie un correctif hors cycle pour CVE-2026-21992, faille RCE non authentifiée (CVSS 9.8) dans Identity Manager et Web Services Manager.
Le FBI alerte : la Russie pirate Signal et WhatsApp
Le FBI confirme que les services de renseignement russes ciblent les utilisateurs de Signal et WhatsApp via des campagnes de phishing massives.