Apple iOS / iPadOS : vulnérabilité confidentialité, patches disponibles depuis le 22 avril
CVE-2026-28950 affecte les versions iOS et iPadOS antérieures à 18.7.8 et 26.4.2. Pour les PME françaises avec une politique BYOD ou un parc d'iPhones / iPads professionnels, il faut pousser la mise à jour cette semaine.
- Référence : CERTFR-2026-AVI-0481, CVE-2026-28950
- Impact : atteinte à la confidentialité des données
- Versions sûres : iOS / iPadOS 18.7.8 ou 26.4.2 (et plus récent)
- Action : mise à jour OS poussée à toute la flotte mobile sous 7 jours
Le bug en clair
Apple a publié le 22 avril 2026 deux bulletins de sécurité (référence support.apple.com/127002 et 127003) corrigeant une vulnérabilité permettant à un attaquant de contourner les protections de confidentialité d'iOS et iPadOS. Le détail technique exact n'est pas public au moment de la publication CERT-FR (pratique courante d'Apple : divulgation après que les patches aient atteint la majorité des appareils).
En pratique, ce type de faille concerne souvent : accès à des données protégées dans l'application Photos, Messages, ou contournement de Lockdown Mode. Le CERT-FR n'a pas classifié la sévérité, mais Apple a estimé suffisamment critique pour pousser deux branches de patches simultanément (la 18.x stable et la 26.x récente).
Versions affectées
| Produit | Versions affectées | Patch |
|---|---|---|
| iOS | avant 18.7.8 ou avant 26.4.2 | 18.7.8 ou 26.4.2+ |
| iPadOS | avant 18.7.8 ou avant 26.4.2 | 18.7.8 ou 26.4.2+ |
Êtes-vous concerné ?
Posez-vous ces 3 questions. Si vous répondez OUI à au moins une, agissez cette semaine :
- Vos collaborateurs utilisent-ils des iPhones professionnels (achetés par l'entreprise) pour accéder à la messagerie d'entreprise ?
- Avez-vous une politique BYOD permettant l'accès aux SaaS d'entreprise (M365, Slack, Salesforce) depuis iPhone / iPad personnel ?
- Une partie de vos collaborateurs sont en télétravail régulier avec un iPad fourni par l'entreprise ?
Quoi faire concrètement
- 1Inventaire : sortir la liste des iPhones / iPads dans votre MDM (Microsoft Intune, Jamf, Mobile Device Manager). Si pas de MDM : extraire la liste des appareils Apple connus dans Microsoft 365 Admin (Apps > Devices).
- 2Pousser la mise à jour : forcer iOS 18.7.8 ou 26.4.2 via votre MDM. Délai cible : 7 jours pour les iPhones professionnels, 30 jours pour les BYOD (avec rappel par email).
- 3Conditional Access (M365 Premium ou équivalent) : bloquer l'accès aux SaaS sensibles depuis tout appareil iOS/iPadOS dont la version est inférieure au patch. Politique à activer dans Entra ID.
- 4Communication : email aux collaborateurs avec procédure : Réglages > Général > Mise à jour logicielle > Mettre à jour maintenant. L'opération prend 10 à 20 minutes.
Pour aller plus loin
- Avis officiel CERT-FR : CERTFR-2026-AVI-0481
- Apple : bulletin de sécurité 127002 (iOS/iPadOS 18.7.8)
- Apple : bulletin de sécurité 127003 (iOS/iPadOS 26.4.2)
Cette alerte mobilise les contrôles A.8.7 (protection malware) et A.8.8 (gestion des vulnérabilités) de l'Annexe A.
Si vous êtes en projet ISO 27001 ou en surveillance annuelle, l'auditeur vous demandera : « Comment avez-vous identifié, priorisé et appliqué cette CVE ? Quel est votre délai moyen de patch sur les terminaux mobiles ? »
Voir la fiche A.8.7 dans l'Académie