Mise à jour de sécurité urgente : Apple corrige ses correctifs
Suite à la découverte d'un bug dans ses mises de jour de sécurité urgentes diffusées en début de semaine, Apple vient de publier en catastrophe de nouvelles versions de macOS, iOS et iPadOS. Cette fois, sans pépin ?
Les problèmes d'expédition précoce, ça n'arrive pas qu'aux autres. Et malgré son immense savoir-faire, Apple nous en donne un bel exemple cette semaine en se voyant obligé de corriger… ses propres correctifs ! De fait, lundi 10 juillet, et pour la deuxième fois cette année, la firme à la pomme mettait en ligne des mises à jour de sécurité urgentes pour ses principaux systèmes d'exploitation, à savoir macOS, iOS et iPadOS. Des mises à jour rapides qui, comme elle l'explique dans ses pages de support, permettent de corriger sans attendre des failles de sécurité tout juste découvertes, avant qu'elles ne soient exploitées par des hackers. Et qui, contrairement aux grandes mises à jour classiques, n'apportent pas de nouvelles fonctions, mais, plus simplement, permettent de réagir à de potentielles menaces émergentes en protégeant les plus rapidement possible les utilisateurs de Mac, d'iPhone et d'iPad.
"Les mises à jour de sécurité urgentes sont un nouveau type de publication logicielle pour iPhone, iPad et Mac. Elles apportent d'importantes améliorations de la sécurité entre les mises à jour logicielles, par exemple, des améliorations du navigateur web Safari, du framework WebKit ou d'autres bibliothèques système essentielles. Elles peuvent également apporter une réponse plus rapide à certains problèmes de sécurité, notamment des problèmes qui auraient pu être exploités ou signalés", explique Apple dans ses notes.
Las, Apple n'a visiblement pas assez vérifié son code avant de le lâcher dans la nature. Et peu de temps après la diffusion de ses mises à jour, la société de Cupertino s'est aperçue que les nouvelles versions souffraient d'un bug d'affichage affectant son navigateur Web Safari. Résultat : elle a aussitôt interrompu leur diffusion pour les corriger. C'est chose faite aujourd'hui avec macOS 13.4.1 (c), iOS 16.5.1 (c) et iPadOS 16.5.1 (c), de nouvelles versions corrigées qui remplacent les éditions (a) publiées lundi 10 juillet.
Mises à jour de sécurité urgentes Apple : des correctifs à appliquer rapidement !
Diffusées le 10 juillet – un lundi, comme tous les nouveautés logicielles d'Apple, qui ne faillit pas à sa tradition –, les trois mises à jour urgentes ne portaient en effet pas les mêmes noms que des versions traditionnelles : elles étaient estampillées macOS 13.4.1 (a), iOS 16.5.1 (a) et iPadOS 16.5.1 (a), avec ce (a) distinctif – qui peuvent logiquement se transformer en d'autres lettres, comme le prouve la nouvelle mise à jour (c) – et qualifiées de Rapid Security Response (RSR) en anglais. Surtout, ces mises à jour d'urgence sont beaucoup plus légères que les versions habituelles, iOS 16.5.1 (a) ne "pesant" que 3,5 Mo, par exemple. Logique dans la mesure où elles ne contiennent que des correctifs – des patchs, dans le jargon – et aucune nouveauté fonctionnelle. Une approche qui permet aux développeurs Apple de réagir plus vite, mais aussi aux utilisateurs de télécharger et d'installer rapidement la nouvelle version. Qui plus est, les mises à jour de sécurité urgentes ne devraient généralement pas nécessiter de redémarrer l'appareil, ce qui est parfois contraignant. Mais ce n'est pas une règle inscrite dans le marbre, comme le prouve cette première mise à jour qui impose un redémarrage.
Attention toutefois : qu'il s'agisse des versions (a) ou (c), ces mises à jour ne sont disponibles que sur les Mac, les iPhone et les iPad à jour. Autrement dit, ceux qui sont déjà passés sous macOS 13.4.1, iOS 16.5.1 et iPadOS 16.5.1, les dernières "grandes" versions des systèmes d'exploitation. Ce sont les seuls qui les verront apparaître. Les autres devront d'abord passer dans ces versions pour en profiter ou attendre une prochaine mise à jour complète, ce qui n'est pas vraiment recommandé quand il s'agit de failles de sécurité. En outre, pour en profiter en temps et en heure, il faut avoir activé l'option MÀJ automatiques dans les réglages, ce qui correspond aux réglage par défaut.
Dans ses notes, Apple indique les mises à jour urgentes de juillet 2023 – les premières dataient du 1er mai dernier – corrigent la faille CVE-2023-37450 qui permet de compromettre un appareil par le biais d'un contenu Web, faille qui pour déjà être exploitée par des pirates. En général, comme tous les correctifs liés à la sécurité, mieux vaut ne prendre aucun risque en les installant dès leur disponibilité. Mais Apple vient de nous prouver le contraire, avec cette double mise à jour qui n'est pas du meilleur effet. Prudence est mère de sûreté, dit le diction. Et il ne faut pas confondre vitesse et précipitation.
Quoi qu'il en soit, et malgré ce petit loupé, on ne peut que saluer cette nouvelle politique d'urgence qui devrait contribuer à améliorer la sécurité de produits de plus en plus utilisés et donc de plus en plus attractifs pour les hackers…