Plus tôt cette semaine, Apple a publié un document clarifiant sa terminologie et ses politiques concernant les mises à niveau et les mises à jour logicielles. La plupart des informations contenues dans le document ne sont pas nouvelles, mais la société a fourni une clarification sur sa politique de mise à jour qu’elle n’avait pas rendue explicite auparavant : malgré la fourniture de mises à jour de sécurité pour plusieurs versions de macOS et iOS à un moment donné, Apple déclare que seuls les appareils exécutant les versions majeures du système d’exploitation les plus récentes doivent s’attendre à être entièrement protégés.

Tout au long du document, Apple utilise « mise à niveau » pour désigner les principales versions du système d’exploitation qui peuvent ajouter de nouvelles fonctionnalités importantes et des changements d’interface utilisateur et « mise à jour » pour désigner des correctifs plus petits mais plus fréquemment publiés qui corrigent principalement des bogues et résolvent des problèmes de sécurité (bien que ceux-ci puissent permettre occasionnellement des ajouts ou des améliorations mineurs de fonctionnalités). Ainsi, la mise à jour d’iOS 15 vers iOS 16 ou macOS 12 vers macOS 13 est un mise à niveau. La mise à jour d’iOS 16.0 vers 16.1 ou de macOS 12.5 vers 12.6 ou 12.6.1 est un mettre à jour.

« En raison de la dépendance à l’architecture et des modifications du système apportées à toute version actuelle de macOS (par exemple, mac OS 13), » indique le document, « tous les problèmes de sécurité connus ne sont pas résolus dans les versions précédentes (par exemple, mac OS 12). »

En d’autres termes, alors qu’Apple fournira des mises à jour liées à la sécurité pour les anciennes versions de ses systèmes d’exploitation, seules les mises à jour les plus récentes recevront des mises à jour pour chaque problème de sécurité dont Apple a connaissance. Apple fournit actuellement des mises à jour de sécurité pour macOS 11 Big Sur et macOS 12 Monterey aux côtés du nouveau macOS Ventura, et dans le passé, il a publié des mises à jour de sécurité pour les anciennes versions d’iOS pour les appareils qui ne peuvent pas installer les dernières mises à jour.

Cela confirme quelque chose dont les chercheurs indépendants en sécurité sont conscients depuis un certain temps, mais qu’Apple n’a pas encore exprimé publiquement. L’analyste en chef de la sécurité d’Intego, Joshua Long, a suivi les CVE corrigés par différentes mises à jour macOS et iOS pendant des années et a généralement constaté que les bogues corrigés dans les dernières versions du système d’exploitation peuvent durer des mois avant d’être corrigés dans les versions plus anciennes (mais toujours ostensiblement « prises en charge »), lorsque ils sont patchés du tout.

Ceci est pertinent pour les utilisateurs de Mac car Apple abandonne la prise en charge des anciens modèles Mac et iDevice dans la plupart des mises à niveau, ce qui s’est quelque peu accéléré pour les anciens Mac Intel ces dernières années (la plupart des Mac reçoivent encore six ou sept ans de mises à niveau, plus deux autres années de mises à jour ). Cela signifie que chaque année, il y a un nouveau lot d’appareils qui reçoivent encore quelques mises à jour de sécurité mais pas tout d’eux. Des logiciels comme OpenCore Legacy Patcher peuvent être utilisés pour faire fonctionner les dernières versions du système d’exploitation sur du matériel plus ancien, mais ce n’est pas toujours un processus simple et il a ses propres limites et mises en garde.

Cela dit, cela ne devrait probablement pas changer radicalement votre calcul pour savoir quand mettre à niveau ou cesser d’utiliser un Mac plus ancien. La plupart des personnes exécutant une installation Big Sur ou Monterey à jour avec un navigateur Safari à jour devraient être à l’abri de la plupart des menaces prioritaires, en particulier si vous mettez également à jour les autres applications de votre Mac. Et la documentation d’Apple ne le fait pas monnaie quoi que ce soit sur la façon dont il met à jour les anciens logiciels ; il ne fait que confirmer quelque chose qui avait déjà été observé.

Nous avons demandé à Apple d’être plus franc sur sa communication de sécurité, et c’est un pas en avant à cet égard. Mais si vous pensez être spécifiquement ciblé par des attaquants, vous avez une autre raison de vous assurer que vos logiciels (et votre matériel) sont entièrement mis à jour et mis à niveau.