Plus de 89 vulnérabilités corrigées en une seule mise à jour. Apple a publié iOS 26.5 le 11 mai 2026 et le bulletin de sécurité officiel liste une trentaine de composants touchés : kernel, WebKit, Wi-Fi, IOKit, ImageIO, SceneKit. Des corruptions mémoire, des conditions de course dans le noyau, des contournements de politique de sécurité dans WebKit. La densité du patch impose l’installation, avant même d’examiner les nouveautés fonctionnelles.
Parmi ces nouveautés, une seule mérite une analyse distincte : le chiffrement de bout en bout pour les messages RCS entre iPhone et Android. Apple l’attendait depuis l’adoption du RCS en 2023. La mise en oeuvre repose sur un protocole standardisé mais son déploiement effectif dépend d’une infrastructure opérateur que ni Apple ni Google ne contrôlent entièrement.
89 failles corrigées : ce que le bulletin de sécurité révèle
Le patch du 11 mai 2026 couvre 31 composants distincts sur iPhone. Parmi les zones les plus sensibles : le kernel avec des failles d’autorisation et des race conditions exposant des données mémoire, WebKit avec des contournements de Content Security Policy et des erreurs de gestion mémoire et le stack Wi-Fi avec des vulnérabilités protocolaires.
mDNSResponder était exposé à un déni de service. IOHIDFamily, IOKit et IOSurfaceAccelerator présentaient des erreurs de corruption mémoire classiques (buffer overflow, use-after-free, accès hors limites). Shortcuts et LaunchServices avaient des failles de contournement des préférences de confidentialité.
Les CVE référencés incluent CVE-2026-28991, CVE-2026-28988, CVE-2026-28959 pour le kernel, CVE-2026-28995 et CVE-2026-39869 pour WebKit, CVE-2026-28964 pour Wi-Fi. La liste complète publiée par Apple compte 65 identifiants CVE nommés dans le bulletin support officiel.
La mise à jour s’applique aux iPhone 11 et modèles ultérieurs. Apple a publié simultanément des correctifs pour iOS 18.7.9, iOS 16.7.16 et iOS 15.8.8, ciblant les parcs d’appareils plus anciens encore en production dans les entreprises.
RCS chiffré : comment fonctionne le protocole MLS ?
La GSMA a publié en mars 2025 une mise à jour du profil universel RCS intégrant le chiffrement de bout en bout. Ce profil, baptisé Universal Profile 3.0, repose sur le protocole MLS (Messaging Layer Security), standardisé par l’IETF. Apple a participé directement aux travaux de la GSMA pour définir cette spécification.
MLS est conçu pour les conversations de groupe à grande échelle, avec une gestion des clés plus efficace que les protocoles Signal classiques sur ce point précis. Dans iOS 26.5, l’implémentation est activée progressivement : les conversations RCS existantes et nouvelles passeront automatiquement au chiffrement au fil du déploiement par les opérateurs.
Un cadenas apparaît en haut de la conversation quand le canal est effectivement chiffré. L’absence du cadenas ne signifie pas une anomalie technique : cela signifie que l’opérateur de l’un des deux correspondants n’a pas encore migré vers le profil GSMA 3.0.
Google Messages doit être à jour pour que le chiffrement soit disponible côté Android. Les deux parties doivent utiliser des opérateurs compatibles. La fonctionnalité reste en bêta dans iOS 26.5, déployée mais avec un calendrier de montée en charge géré côté infrastructure réseau.
Quels opérateurs supportent le RCS chiffré aujourd’hui ?
Apple n’a pas publié de liste officielle. D’après 9to5Mac, les grands opérateurs américains (AT&T, Verizon, T-Mobile) participent au déploiement initial. En France et en Europe, la compatibilité avec le profil GSMA 3.0 reste à confirmer opérateur par opérateur.
L’angle mort de la fonctionnalité est là : Apple contrôle la mise à jour logicielle, Google contrôle Android Messages mais la couche réseau appartient à plusieurs centaines d’opérateurs mondiaux. La chaîne de confiance du chiffrement passe par tous ces intermédiaires.
En pratique, un utilisateur qui met à jour vers iOS 26.5 peut ne voir aucun cadenas dans ses conversations RCS pendant des semaines, selon sa localisation et son opérateur. Le déploiement effectif suit un calendrier que personne n’a publié.
Apple Maps, fond d’écran Pride et autres ajouts
iOS 26.5 ajoute une section « Suggested Places » dans Plans, qui affiche des suggestions basées sur les tendances de localisation et les recherches récentes. Apple annonce aussi l’arrivée de publicités dans les résultats de recherche Plans, prévue pour l’été 2026 aux États-Unis et au Canada en premier.
Le fond d’écran Pride Luminance fait son apparition : 11 variantes disponibles, avec un sélecteur de couleurs personnalisable. Il correspond au cadran Apple Watch Pride Luminance publié simultanément. Apple synchronise régulièrement ses sorties logicielles avec le calendrier Pride et la variante « Luminance » introduit une réfraction dynamique des couleurs au mouvement de l’écran.
iOS 26.5 est aussi, selon MacRumors, l’une des dernières mises à jour majeures de la branche iOS 26 avant WWDC juin 2026, où Apple devrait présenter iOS 27.
Récapitulatif des changements iOS 26.5
| Domaine | Changement | Statut |
|---|---|---|
| Sécurité | 89 failles corrigées (kernel, WebKit, Wi-Fi, IOKit, ImageIO…) | Déployé |
| Messages RCS | Chiffrement E2EE via protocole MLS / GSMA Universal Profile 3.0 | Bêta (déploiement progressif selon opérateur) |
| Plans / Maps | Section « Suggested Places » + publicités à venir (été 2026, US/Canada) | Suggestions déployées / Pubs annoncées |
| Personnalisation | Fond d’écran Pride Luminance (11 variantes, couleurs personnalisables) | Déployé |
| Compatibilité | iPhone 11 et modèles ultérieurs | Requis |
Faut-il installer iOS 26.5 maintenant ?
89 failles corrigées sur des composants aussi fondamentaux que le kernel et WebKit. Le bulletin Apple liste des vulnérabilités de corruption mémoire dans IOKit et IOSurfaceAccelerator, des accès non autorisés aux données via Shortcuts et LaunchServices. Ces surfaces d’attaque sont concrètes et la réponse est oui.
Sur le RCS chiffré, l’installation ne change rien à court terme si l’opérateur n’a pas migré. La base technique est posée côté iOS. Google Messages déploie de son côté la compatibilité MLS sur Android.
Le fond d’écran et les suggestions dans Plans sont des ajouts secondaires. iOS 26.5 combine un patch sécurité dense et une évolution protocolaire pour la messagerie inter-plateformes. Les deux justifient l’installation.
Le chiffrement des messages entre iPhone et Android aura mis trois ans après l’adoption du RCS pour arriver. Combien d’opérateurs auront réellement migré d’ici la fin de l’année reste à observer.
