Tu veux les meilleurs outils IA avant les autres ?
On teste et on décrypte les nouveaux outils IA chaque soir, en 5 min. Gratuit.
Inclus dès l'inscription : notre sélection des meilleurs guides & comparatifs IA.
Choisis ton rythme
Gratuit · Pas de spam · Désabonnement en 1 clic
Apple et Anthropic : iOS 26.5 sécurise avec Claude
Début avril, Anthropic a officialisé le lancement de son Project Glasswing, une initiative de cybersécurité par intelligence artificielle. Parmi les onze partenaires de lancement figurent des géants tels qu'Apple, Google, Microsoft, NVIDIA et JPMorgan. Cinq semaines après cette annonce, Apple a publié la mise à jour iOS 26.5, intégrant plus de 50 correctifs de sécurité. Deux failles de sécurité mentionnent explicitement « Claude, Anthropic », une première pour Apple.
Deux failles critiques identifiées
La première faille, référencée sous CVE-2026-28942, concerne WebKit. Elle permettait à un iframe malveillant d'exploiter les paramètres de téléchargement d'un autre site. Les chercheurs Milad Nasr et Nicholas Carlini, membres de l'équipe de red teaming d'Anthropic, ont été crédités pour cette découverte, en collaboration avec Claude. La seconde faille, CVE-2026-28952, affectait le noyau du système, où un dépassement d'entier pouvait provoquer un arrêt système. Cette découverte est attribuée à « Calif.io en collaboration avec Claude et Anthropic Research ».
Il est important de noter qu'Apple n'a pas mentionné « Mythos » dans ses notes de sécurité. Le terme « Claude » peut se référer à n'importe quelle version du modèle d'Anthropic. Aucune des deux failles n'était exploitée au moment de leur correction, ce qui les classe comme des zero-day.
Comparaison avec Mozilla et perspectives futures
La situation chez Apple contraste avec celle de Mozilla, dont Firefox 150, publié le 21 avril, intégrait 271 vulnérabilités découvertes par Mythos Preview. Mozilla avait eu accès au modèle depuis février, soit trois mois avant la publication, et le CTO Bobby Holley avait documenté le processus.
Plusieurs raisons peuvent expliquer cette différence. Apple ne crédite pas toujours la méthode de découverte dans sa documentation, et la période de divulgation responsable d'Anthropic s'étend sur 90 jours, pouvant aller jusqu'à 135 jours. Les failles identifiées par Mythos dès le 7 avril pourraient ne pas être rendues publiques avant juillet 2026, voire être reportées à la sortie d'iOS 27 pour les moins urgentes. Apple pourrait également vouloir minimiser l'exposition de son recours à une IA tierce.
Le rapport complet de Project Glasswing est attendu pour juillet 2026. À ce jour, VulnCheck a recensé 40 CVE attribuées à Anthropic parmi tous les éditeurs. La Bundesbank et la FINMA suisse réclament un accès européen à Mythos depuis fin avril, soulignant l'importance de cette technologie au-delà de la sécurité logicielle.
En attendant, la mise à jour iOS 26.5 est fortement recommandée. Elle corrige cinquante failles, dont 10 dans WebKit, et est le patch le plus important depuis iOS 26.2. Tous les iPhone 11 et ultérieurs sont concernés, avec des correctifs également disponibles pour les modèles plus anciens : iOS 18.7.9, iPadOS 18.7.9, iPadOS 17.7.11, iOS 16.7.16, iPadOS 16.7.16, iOS 15.8.8 et iPadOS 15.8.8.
