56 vulnérabilités pour Sequoia. 50 pour Sonoma. Pas une seule exploitée dans la nature. On pourrait presque se rassurer. Sauf qu’en lisant la liste publiée par Apple le 24 mars 2026, on tombe sur des failles kernel de type use-after-free, une escalade de privilèges root via CUPS et des fuites de mémoire noyau. Un attaquant compétent transforme ce type de brèche en exploit fonctionnel en quelques semaines. Installer ces mises à jour relève de l’hygiène minimale.
Pourquoi Apple publie encore des correctifs pour Sequoia et Sonoma ?
Apple maintient en parallèle trois versions de macOS. macOS Tahoe 26.4 reçoit les nouvelles fonctionnalités et les correctifs de sécurité. Sequoia 15 et Sonoma 14 ne reçoivent que les patchs de sécurité. C’est le contrat implicite d’Apple avec les utilisateurs qui ne veulent pas ou ne peuvent pas migrer vers le dernier système.
Ce cycle a une limite. Apple ne communique jamais de date de fin de support. Un jour, les mises à jour cessent. macOS Ventura 13, par exemple, n’a rien reçu ce 24 mars. Le message est clair sans être dit : Ventura entre dans la zone grise. Les Mac sous Monterey ou Big Sur sont, eux, livrés à eux-mêmes depuis longtemps.
Quelles failles sont corrigées dans macOS Sequoia 15.7.5 ?
La note de sécurité d’Apple liste 56 CVE. Quatre touchent directement le noyau macOS. CVE-2026-20687 corrige une vulnérabilité use-after-free qui permettait à un attaquant d’exécuter du code arbitraire avec les privilèges du kernel. CVE-2026-28868 et CVE-2026-20695 exposaient la disposition mémoire du noyau. CVE-2026-28829 autorisait la modification du système de fichiers.
Les composants touchés ne s’arrêtent pas au kernel. CUPS (CVE-2026-28888) permettait une escalade vers les privilèges root. CoreServices présentait deux failles : une escalade de privilèges (CVE-2026-28821) et un échappement de sandbox (CVE-2026-28838). Le module Printing cumulait trois vulnérabilités dont deux contournements de sandbox.
Côté réseau, la pile 802.1X (CVE-2026-28865) permettait l’interception du trafic. Cinq failles Apache héritées de 2025 ont été corrigées dans la foulée. SMB reste une cible récurrente avec une écriture hors limites (CVE-2026-28825) et un crash système provoqué par un partage malveillant.
Que corrige macOS Sonoma 14.8.5 ?
Sonoma hérite d’environ 50 correctifs. La majorité des failles kernel et système sont communes aux deux versions. Les différences tiennent aux composants spécifiques à chaque version : certains frameworks introduits ou modifiés dans Sequoia 15 n’existent pas dans Sonoma 14 et ne nécessitent donc pas de patch.
Les failles les plus critiques (kernel use-after-free, escalade root CUPS, contournement de sandbox CoreServices) sont corrigées dans les deux versions. Un utilisateur Sonoma qui installe la 14.8.5 bénéficie du même niveau de protection sur ces vecteurs d’attaque qu’un utilisateur Sequoia en 15.7.5.
Spotlight, Mail et Clipboard : les données personnelles en ligne de mire
Trois composants du quotidien présentaient des failles d’accès aux données sensibles. Spotlight cumulait trois CVE (CVE-2026-20699, CVE-2026-28818, CVE-2026-20697) permettant à une application malveillante de lire des données utilisateur. Sur les Mac Intel, la première exploitait un défaut de signature de code.
Mail (CVE-2026-20692) contournait les réglages de confidentialité. Concrètement : un utilisateur ayant activé le masquage d’adresse IP et le blocage du contenu distant dans Mail pouvait voir ces protections ignorées sur certains messages. Une faille silencieuse qui compromet la vie privée sans laisser de trace visible.
Le Clipboard (CVE-2026-28866) permettait l’accès aux données sensibles via une validation insuffisante des liens symboliques. L’application Notes (CVE-2026-28816) autorisait la suppression non autorisée de fichiers. Messages (CVE-2026-20651) exposait des données via une gestion défaillante des fichiers temporaires.
Aucune faille activement exploitée : faut-il s’inquiéter quand même ?
Apple le confirme et The Eclectic Light Company le souligne : aucune des vulnérabilités corrigées dans Sequoia 15.7.5 ou Sonoma 14.8.5 n’est signalée comme activement exploitée. Bonne nouvelle. Mais ça ne suffit pas à rassurer.
En février 2026, CVE-2026-20700 ciblait le Dynamic Link Editor (dyld) de macOS et était exploitée dans la nature. Le Google Threat Analysis Group l’avait signalée, probablement utilisée par des acteurs étatiques ou des vendeurs de spyware commercial. Les failles kernel de type use-after-free corrigées dans cette mise à jour appartiennent à la même famille de vulnérabilités : celles qui servent de briques élémentaires pour construire des chaînes d’exploitation complètes.
« None are reported as being known to be exploited in the wild at present. » : The Eclectic Light Company, 24 mars 2026
Le mot clé est « at present ». Entre la publication d’un correctif et son installation par l’utilisateur moyen, il s’écoule souvent des semaines. Ce délai est exactement la fenêtre qu’exploitent les attaquants qui pratiquent le patch diffing : comparer le binaire avant et après mise à jour pour localiser la faille et construire l’exploit.
Quels Mac sont compatibles et comment installer la mise à jour ?
macOS Sequoia 15.7.5 (build 24G624) s’installe sur les MacBook Pro 2018 et ultérieurs, MacBook Air 2020 et ultérieurs, iMac Retina 4K 2019, iMac Pro, Mac mini 2018, Mac Studio 2022 et Mac Pro 2019. macOS Sonoma 14.8.5 (build 23J423) couvre le même parc en ajoutant les MacBook Air 2018 et 2019.
L’installation passe par Réglages du système, puis Général et Mise à jour logicielle. Compter entre 20 et 40 minutes selon le modèle. Un redémarrage est nécessaire. Pour les administrateurs système gérant un parc de Mac, l’outil open source SOFA de Mac Admins permet de suivre les builds et les CVE en temps réel.
56 failles documentées. Zéro exploit connu pour l’instant. Chaque jour sans mise à jour est un jour où ces brèches restent ouvertes. Apple a livré les correctifs. Le reste se joue dans Réglages du système.
