Apple Inc. a publié en urgence une mise à jour de sécurité pour corriger une vulnérabilité critique de type zero-day, identifiée sous le nom de CVE-2025-43300, qui était activement exploitée lors d’attaques ciblées, notamment contre les utilisateurs de cryptomonnaies. Ce défaut impliquait un problème d’écriture hors limites dans le cadre ImageIO, permettant aux attaquants d’exécuter un code arbitraire via des fichiers image spécialement conçus. La vulnérabilité a été corrigée sur plusieurs plateformes Apple, y compris macOS Sonoma, macOS Ventura, iPadOS et iOS. Apple a confirmé que cette faille avait été utilisée dans des attaques sophistiquées visant des personnes spécifiques.
La nature “zero-click” de la vulnérabilité, ne nécessitant aucune interaction de l’utilisateur, est particulièrement préoccupante pour les utilisateurs de cryptomonnaies. Des images malveillantes envoyées via iMessage pourraient être automatiquement traitées, compromettant potentiellement les appareils et permettant aux attaquants d’accéder à des données sensibles de portefeuille. Les experts en cybersécurité mettent en garde contre les implications plus larges pour l’écosystème numérique, car le cadre ImageIO est essentiel pour la lecture et l’écriture des formats de fichiers image sur les appareils Apple.
L’Agence de cybersécurité et de sécurité des infrastructures (CISA) a inclus cette vulnérabilité dans son catalogue des vulnérabilités exploitées connues, exhortant les organisations à appliquer des mesures d’atténuation d’ici septembre 2025. Apple souligne l’importance des mises à jour immédiates pour prévenir toute exploitation et a fourni une documentation technique détaillée sur la vulnérabilité.
Les experts conseillent aux utilisateurs, en particulier ceux qui pourraient avoir été ciblés, de sécuriser leurs données personnelles et d’envisager de migrer vers de nouvelles clés de portefeuille en cas de compromission détectée. Cet incident souligne la nécessité cruciale de mises à jour logicielles rapides et de pratiques de sécurité robustes, mettant en lumière l’intersection croissante entre cybersécurité et cryptomonnaie.
