Le mardi 5 septembre 2023, Apple a poussé iOS 16.6.1 en urgence. Une mise à jour de sécurité. Pas de nouvelles fonctions, pas de nouveaux emojis, pas de réaménagement de l’écran d’accueil. Juste deux correctifs.
Ces deux correctifs fermaient une faille exploitée activement par Pegasus — le logiciel espion du groupe israélien NSO — contre des militants des droits humains. Le Citizen Lab (Université de Toronto) avait intercepté l’attaque quelques jours plus tôt. Un seul iMessage malicieux suffisait à compromettre complètement un iPhone, sans clic, sans avertissement.
Si vous aviez repoussé cette mise à jour pendant trois semaines, vous étiez potentiellement exposé pendant trois semaines. Pas dans un scénario hypothétique : dans la vraie vie, avec du vrai code malveillant qui circulait déjà.
C’est ça, le vrai sujet d’une mise à jour.
Anatomie d’une mise à jour : qu’est-ce qu’il y a vraiment dedans
Une mise à jour d’OS, c’est rarement un seul truc. C’est un paquet cadeau avec plusieurs couches, et chacune a son utilité différente.
Les correctifs de sécurité. Ce sont les plus importants. Chaque mois, des chercheurs (universitaires, bug bounty, services de renseignement) découvrent des failles dans le système. Certaines permettent à un attaquant de lire vos messages. D’autres permettent de prendre le contrôle complet de l’appareil. Les fabricants les classent selon un score CVSS de 0 à 10. Tout ce qui dépasse 7 est considéré critique. Tout ce qui est marqué “exploited in the wild” veut dire qu’il y a déjà des attaquants qui s’en servent.
Les corrections de bugs. Le Bluetooth qui se déconnecte sans raison, la caméra qui fige, l’app Photos qui plante quand vous scrollez trop vite. Ces bugs ne mettent pas votre vie en danger mais dégradent l’expérience. Les mises à jour mineures (celles avec un troisième chiffre, genre 17.4.2) sont presque entièrement dédiées à ça.
Les nouvelles fonctionnalités. C’est ce que le marketing vend, mais en volume de code c’est souvent minoritaire. iOS 17 a ajouté StandBy, les stickers générés par IA, le mode Journal. Android 14 a ajouté le thème monochrome, les raccourcis d’accessibilité améliorés. Ces ajouts sont le moteur du cycle annuel (tout le monde veut “la nouvelle version”), mais ils ne sont pas la raison principale pour installer la mise à jour.
Les optimisations. Gestion de la batterie, consommation CPU en arrière-plan, compression du stockage. Sur un iPhone de 4 ans, une mise à jour peut littéralement ajouter 30 minutes d’autonomie par jour sans rien faire d’autre. Apple ne communique presque jamais là-dessus, mais c’est dans les notes techniques.
Les dépréciations. Parfois, une mise à jour retire quelque chose. Un protocole obsolète (TLS 1.0 abandonné), une app système (iTunes sur macOS), une fonction peu utilisée. Ça casse des flux pour une petite minorité d’utilisateurs, mais ça allège le code et ferme des vecteurs d’attaque.
Dans une mise à jour type, la répartition ressemble à : 60 % sécurité + bugs, 25 % optimisations, 15 % nouvelles fonctions. Le marketing inverse le ratio dans sa communication.
Le cas Pegasus : pourquoi WebKit iOS est une cible permanente
Pegasus est le nom qui revient à chaque scandale de surveillance. Amnesty International, le Citizen Lab, Reporters Sans Frontières ont documenté des dizaines de cas : journalistes saoudiens, avocats mexicains, militants marocains, et même des fonctionnaires de l’Union européenne.
Comment Pegasus entre dans un iPhone ? Presque toujours par WebKit — le moteur de rendu web qu’Apple impose à TOUS les navigateurs sur iOS (Safari, Chrome iOS, Firefox iOS utilisent tous WebKit en dessous). Si WebKit a une faille, tous les navigateurs sur iOS ont cette faille. D’où la cible permanente.
En 2023, la vulnérabilité CVE-2023-41064 dans WebKit permettait d’envoyer une image PDF corrompue par iMessage. Aucun clic requis. L’image déclenchait l’exploit, Pegasus s’installait, et à partir de là : accès aux micros, caméras, messages, localisation, tout.
Quand Apple publie iOS 17.4.1 ou iOS 18.0.1 avec la mention “WebKit — arbitrary code execution”, c’est ce type de faille qu’ils ferment. Chaque version d’iOS de 2023 à 2026 a eu au moins une mise à jour d’urgence WebKit. C’est le pattern. Et c’est pour ça qu’un iPhone non mis à jour est un iPhone vulnérable à du code qui existe déjà dans la nature.
Le cas Android : pourquoi Samsung prend trois mois
Android a un problème structurel que Apple n’a pas : la fragmentation.
Google publie ses Android Security Bulletins le premier mardi de chaque mois. Les Pixel reçoivent les patches le jour même. Mais un Samsung Galaxy, un Xiaomi, un OnePlus ? Le processus a plusieurs étages.
- Google publie les patches au monde.
- Le fabricant (Samsung, Xiaomi, OnePlus) prend ces patches, les intègre à sa version modifiée d’Android (One UI, MIUI, OxygenOS).
- Le fabricant teste la nouvelle version sur ses dizaines de modèles.
- Pour les téléphones achetés via un opérateur (Bell, Rogers, Vidéotron), l’opérateur fait sa propre validation avant de distribuer.
Chaque étage ajoute des semaines. Samsung a fait d’énormes progrès depuis 2022 (ils sont maintenant à environ 4 à 6 semaines de délai sur les modèles phares), mais sur les modèles milieu de gamme ou anciens, le délai peut atteindre 3 à 4 mois. Xiaomi et les fabricants chinois sont souvent pires.
Concrètement : si Google corrige une faille critique en janvier, le propriétaire d’un Samsung Galaxy A53 au Québec peut ne recevoir le correctif qu’en avril. Pendant 3 mois, cette faille est publiquement documentée mais son téléphone n’est pas protégé.
Ce que ça change pour vous :
- Si vous tenez vraiment à la sécurité mobile Android, un Pixel Google vaut mieux qu’un Samsung équivalent.
- Si vous avez un Samsung, vérifiez la politique de support : les modèles récents Galaxy S ont 7 ans de mises à jour. Les Galaxy A ont typiquement 4 à 5 ans.
- Si votre téléphone Android n’a plus reçu de mise à jour depuis 6 mois, il est probablement end-of-life. Ça veut dire que chaque faille découverte depuis ce jour reste ouverte.
Windows 10 : la fin du support le 14 octobre 2025
Le 14 octobre 2025 est la date officielle que Microsoft a fixée. Après cette date, Windows 10 ne reçoit plus de mises à jour de sécurité gratuites. Les nouvelles failles découvertes (et il y en a chaque mois) restent ouvertes.
Selon les données StatCounter, en avril 2026, Windows 10 représente encore environ 30 % des PC dans le monde. Ça veut dire des centaines de millions de machines non protégées. Au Québec, beaucoup de PME tournent encore sous Windows 10 parce que le matériel est compatible, stable, et que la migration à Windows 11 demande parfois du nouveau matériel (exigence TPM 2.0).
Vos options aujourd’hui :
-
Payer le programme ESU (Extended Security Updates). Microsoft offre des mises à jour de sécurité payantes. Pour les particuliers, environ 30 $US la première année, le double l’année suivante, puis plus encore. Disponible jusqu’en 2028 maximum.
-
Migrer vers Windows 11. Si votre PC a été acheté après 2018 avec TPM 2.0, c’est gratuit via Windows Update. Vérifiez la compatibilité avec l’outil PC Health Check de Microsoft. Attention : l’interface change (menu Démarrer centré, arrondis, Widgets), prévoir 1 à 2 heures d’adaptation.
-
Migrer vers Linux. Option sérieuse pour les utilisateurs qui font surtout du web, bureautique et vidéo. Ubuntu ou Linux Mint tournent sur du matériel beaucoup plus vieux que Windows 11. Apprentissage : 1 à 2 semaines. Gratuit. Aucun risque de perte de support avant 10 ans.
-
Acheter un nouveau PC Windows 11. Budget entrée de gamme à Québec : 600-800 $ CAD pour un bon laptop. Important si votre machine a plus de 5 ans.
-
Ignorer et croiser les doigts. La moins recommandée, mais réaliste pour une machine non connectée à Internet (ex : un vieux PC qui contrôle une machine dans un garage). Si la machine ne touche jamais à Internet et aucune clé USB inconnue, le risque est réel mais réduit.
Les mythes qui retardent encore les mises à jour
“Les mises à jour ralentissent mon appareil.” Ce mythe vient du Batterygate 2017, où Apple avait bridé la performance de certains iPhone à batterie usée sans en informer les utilisateurs. Depuis iOS 11.3 (2018), cette fonction est divulguée et désactivable. Le vrai ralentissement perçu vient d’ailleurs : les nouvelles apps (Instagram, TikTok, Messenger) exigent plus de RAM et plus de puissance chaque année. Un iPhone 7 en 2026 tourne lentement parce que Instagram 2026 n’a pas été pensé pour 2 GB de RAM, pas à cause d’iOS.
“Les mises à jour cassent des trucs.” Parfois, oui. Les versions majeures (iOS 17.0, Android 14.0, Windows 11 24H2) ont presque toujours quelques bugs à la sortie. C’est pour ça que la règle du 1 à 2 semaines d’attente est raisonnable pour les sorties annuelles. Mais les mises à jour mineures (iOS 17.4.1, Android 14 March patch) sont quasi exclusivement des correctifs et cassent extrêmement rarement quelque chose.
“Je n’ai rien à cacher, ma vie ne risque rien.” Le problème n’est pas ce que vous cachez. Le problème est que votre téléphone non mis à jour peut devenir un point d’entrée pour quelqu’un d’autre. Votre compte bancaire. Vos photos de famille. Votre compte Facebook qui devient un relais de spam. Vos contacts qui reçoivent des arnaques en votre nom.
“L’auto-update va me déranger.” iOS et Windows sont conçus pour installer en arrière-plan quand l’appareil est branché, en Wi-Fi et inactif. Android aussi sur les versions récentes. Le pire scénario typique : un redémarrage imprévu un mardi matin à 3h. Une fois toutes les 4 à 6 semaines.
Guide concret : activer l’auto-update partout
iPhone/iPad (iOS 17+) Réglages → Général → Mise à jour logicielle → Mises à jour automatiques. Activer les deux interrupteurs : “Télécharger les mises à jour iOS” et “Installer les mises à jour iOS”. Ça installe automatiquement la nuit quand l’iPhone est branché.
Android (Pixel, Samsung, autres) Paramètres → Système → Mise à jour système → Icône engrenage (en haut à droite) → Activer les téléchargements automatiques. Sur Samsung, ajouter : Paramètres → Galaxy Store → Menu → Paramètres → Mise à jour auto des apps (activer pour “Par Wi-Fi uniquement” si le forfait de données est limité).
Windows 11 Paramètres → Windows Update → Options avancées → Activer “Recevoir les mises à jour pour d’autres produits Microsoft”. Puis “Heures d’activité” : définir vos heures typiques d’utilisation (ex : 8h à 22h) pour que Windows ne redémarre jamais pendant ces heures.
macOS Préférences Système → Général → Mise à jour de logiciels → cliquer sur le “i” à côté de “Mises à jour automatiques” → tout activer sauf éventuellement “Installer les nouvelles mises à jour macOS” si vous voulez valider manuellement les grosses versions annuelles (macOS 15, 16, etc.).
Applications (à ne pas oublier) Les apps tierces sont vecteur d’attaque aussi. WhatsApp, Chrome, Zoom, votre app bancaire — chacune a ses propres failles.
- iOS : App Store → votre profil → Mises à jour automatiques (activer).
- Android : Play Store → profil → Paramètres → Préférences de réseau → Mise à jour automatique des apps → “Par tout réseau” ou “Wi-Fi uniquement”.
Routeur domestique Le plus oublié. Votre routeur Vidéotron, Bell, TP-Link, Asus tourne du logiciel qui a aussi des failles. Connectez-vous à l’interface admin (souvent 192.168.1.1 ou 192.168.0.1) et cherchez “Firmware”. Activer la mise à jour automatique si disponible. Sinon, vérifier manuellement 2 fois par an.
Le bon équilibre : attendre quand c’est une grosse version
Le conseil “installer tout dès que possible” mérite une nuance. Les correctifs critiques (marqués “urgent”, “zero-day”, “exploited in the wild”) : oui, dans les 24 heures. Les versions majeures annuelles (iOS 18.0, Android 15, macOS 16) : attendre 1 à 2 semaines n’est pas déraisonnable. Le temps que les bugs de lancement soient identifiés, que les forums (r/iOSBeta, XDA Developers, Windows Insider) rapportent ce qui pète et ce qui ne pète pas, que les fabricants d’apps tierces publient les correctifs de compatibilité.
Cette fenêtre d’attente ne doit jamais dépasser 2 à 3 semaines. Passé ce délai, vous n’attendez plus — vous repoussez. Et repousser n’est pas une stratégie.
Ce qu’il faut retenir
Une mise à jour n’est pas juste un correctif de sécurité. C’est un paquet complet : sécurité, bugs, optimisations, fonctions. Chaque couche a sa raison d’être.
Samsung et les fabricants Android avec skin ajoutent 4 à 12 semaines de délai par rapport à Google. Si vous tenez à la sécurité mobile Android, un Pixel est structurellement mieux.
Windows 10 a fini sa vie gratuite le 14 octobre 2025. Si vous êtes encore dessus aujourd’hui, vous avez besoin d’un plan dans les mois qui viennent — pas dans un an.
L’auto-update est votre ami. Les vieilles peurs (ça ralentit, ça casse tout) sont largement obsolètes. Activez-le partout.
Chez Sequr, on aide les particuliers et PME du Québec à mettre en place des politiques de mises à jour qui tiennent la route — sans l’angoisse et sans casser les workflows existants. Audit complet, plan de migration Windows 10 → Windows 11 ou Linux, configuration d’auto-update sur tous vos appareils.
Pour en parler, ou écrivez via sequr.ca.
À lire aussi :
