Apple recommande aux utilisateurs d'iPhone de mettre à jour leur logiciel à la suite de campagnes de piratage
Apple recommande aux utilisateurs d'iPhone de mettre à jour leur logiciel à la suite de campagnes de piratage menées par les services de renseignement russes, des cybercriminels chinois et d'autres pirates
Apple lance un avertissement urgent aux utilisateurs d'iPhone après l'échec d'une campagne de piratage. Des recherches montrent que des pirates informatiques utilisent des outils surnommés DarkSword et Coruna pour s'introduire dans des téléphones équipés d'anciennes versions d'iOS, ce qui a incité l'entreprise technologique à exhorter les utilisateurs à effectuer la mise à jour. La porte-parole d'Apple, Sarah O'Rourke, a publié un communiqué invitant les utilisateurs d'Apple à mettre à jour leurs iPhones. « Maintenir les logiciels à jour reste la mesure la plus importante que les utilisateurs puissent prendre pour préserver le haut niveau de sécurité de leurs appareils Apple », a-t-elle déclaré.
iOS (anciennement iPhone OS) est un système d'exploitation mobile créé et développé par Apple pour sa gamme de smartphones iPhone. Il a été dévoilé en janvier 2007 en même temps que l'iPhone de première génération, et a été lancé en juin 2007. Les versions majeures d'iOS sont publiées chaque année ; la version stable actuelle, iOS 26, a été mise à la disposition du public le 15 septembre 2025. Outre l'iPhone, iOS sert de base à trois autres systèmes d'exploitation développés par Apple : iPadOS, tvOS et watchOS. iOS est le deuxième système d'exploitation mobile le plus installé au monde, après Android.
Des recherches en cybersécurité suggérant que les services de renseignement russes, des cybercriminels chinois et d'autres piratent des iPhone fonctionnant sous d'anciennes versions du système d'exploitation iOS, Apple invite les utilisateurs à mettre à jour leurs téléphones. Les recherches montrent que les pirates utilisent des outils surnommés DarkSword et Coruna pour accéder aux téléphones fonctionnant sous d'anciennes versions d'iOS.
« DarkSword semble être un outil de surveillance et de collecte de renseignements, récupérant toutes sortes de données, notamment les mots de passe Wi-Fi, les SMS, l'historique des appels, l'historique de localisation, l'historique de navigation, les données de la carte SIM et de la connexion cellulaire, ainsi que les bases de données relatives à la santé, aux notes et au calendrier », a écrit la société de cybersécurité iVerify dans un communiqué de presse.
Selon la société de cybersécurité Lookout et Google, les pirates utilisent des outils appelés « kits d'exploitation » pour collecter les informations personnelles des utilisateurs. La porte-parole d'Apple, Sarah O'Rourke, a publié un communiqué invitant les utilisateurs d'Apple à mettre à jour leurs iPhones. « Maintenir les logiciels à jour reste la mesure la plus importante que les utilisateurs puissent prendre pour préserver le haut niveau de sécurité de leurs appareils Apple », a-t-elle déclaré.
Les recherches menées par Google et les équipes de cybersécurité n’ont pas fait état de piratages visant des Américains, mais ont révélé que les services de renseignement russes pirataient des Ukrainiens, des utilisateurs chinois de cryptomonnaies, ainsi que des personnes en Arabie saoudite, en Turquie et en Malaisie.
Selon John Scott-Railton, chercheur senior au Citizen Lab de l'université de Toronto, un laboratoire de cybersécurité, n'importe qui, n'importe où, peut être piraté s'il utilise un ancien système iOS. « Le seuil d'accès à des attaques mobiles généralisées et dévastatrices a été considérablement abaissé », a déclaré Scott-Railton. « Il est clair que ce problème ne va faire que s'aggraver », a-t-il ajouté.
Il note que 26 % des utilisateurs d'iPhone utilisent iOS 18 ou une version plus ancienne. Le piratage se produit lorsqu'un utilisateur visite un site web compromis. En exploitant la manière dont les téléphones traitent le trafic web, des outils comme DarkSword peuvent collecter des informations personnelles. « Ce qui est effrayant pour les utilisateurs lambda, c'est qu'ils ne peuvent pas détecter cette attaque », a-t-il ajouté.
Selon Google, des cybercriminels chinois ont utilisé un outil de piratage pour créer « un très grand nombre de faux sites web chinois, principalement liés à la finance », afin de collecter des cryptomonnaies. Google a également noté que plusieurs entreprises vendant des outils de piratage aux gouvernements ont adopté l’outil DarkSword. La société a noté que « plusieurs fournisseurs de surveillance commerciale et des acteurs soupçonnés d’être soutenus par des États utilisent DarkSword dans le cadre de campagnes distinctes ».
Concernant DarkSword, Google explique : "DarkSword exploite six vulnérabilités différentes pour compromettre entièrement un appareil iOS vulnérable et exécuter une charge utile finale avec tous les privilèges du noyau. Contrairement à Coruna, DarkSword ne prend en charge qu'un ensemble limité de versions d'iOS (18.4 à 18.7) et, bien que les différentes étapes de l'exploitation soient techniquement sophistiquées, les mécanismes utilisés pour charger les exploits étaient plus rudimentaires et moins robustes que ceux de Coruna.
Contrairement à Coruna également, DarkSword utilise du JavaScript pur pour toutes les étapes de la chaîne d'exploitation et les charges utiles finales. Bien qu'une plus grande sophistication soit nécessaire pour faire le pont entre le JavaScript et les API natives ainsi que les canaux IPC utilisés dans l'exploitation, son utilisation élimine la nécessité d'identifier des vulnérabilités permettant de contourner les mesures d'atténuation de l'exploitation de la Page Protection Layer (PPL) ou du Secure Page Table Monitor (SPTM) dans iOS, qui empêchent l'exécution de code binaire non signé."
Rocky Cole, directeur des opérations chez iVerify, a déclaré qu'on part souvent du principe que les iPhones sont incroyablement sûrs, mais que ce n'est pas tout à fait vrai. « Il existe cette perception au sein de la communauté de la sécurité selon laquelle les attaques contre les iPhones sont comme des bêtes mythiques, elles sont rares », a-t-il déclaré. « Non, c'est juste que nous n'avons pas vraiment les outils pour les détecter. J'ai le sentiment que ce phénomène est plus répandu que ce que les gens pensent. »
Voici le rapport de iVerify :
iVerify dévoile les détails de DarkSword, la deuxième attaque de grande envergure contre iOS révélée en deux semaines
iVerify, leader des solutions avancées de détection et de réponse sur les terminaux mobiles (EDR), a annoncé aujourd’hui les détails de son enquête sur DarkSword, une attaque de type « watering hole » récemment révélée visant les iPhone fonctionnant sous iOS 18.4 à 18.6.2 en Ukraine. Ces versions, lancées en 2025, sont toujours en service sur près de 270 millions d'appareils. L'attaque a été découverte grâce à une URL suspecte hébergée sur la même infrastructure que celle utilisée par l'acteur malveillant russe lors de la première attaque Coruna connue contre l'Ukraine, annoncée le 3 mars 2026. Il convient de noter que l'un des sites redirigeant vers la charge utile malveillante est une adresse .gov.ua, ce qui signifie que l'acteur malveillant a réussi à compromettre le serveur du gouvernement ukrainien. Nous avons collaboré avec le CERT UA pour nous assurer que la menace était neutralisée avant sa divulgation publique.
Entièrement écrit en JavaScript, DarkSword exploite six vulnérabilités réparties sur deux chaînes d'exploitation qui ont été corrigées par étapes jusqu'à iOS 26.3. Partant de WebKit pour descendre jusqu’au noyau, il parvient à compromettre entièrement l’iPhone grâce à des techniques élégantes jamais vues auparavant. Contrairement à Coruna, qui semblait principalement cibler le vol de cryptomonnaies, DarkSword apparaît comme un outil de surveillance et de collecte de renseignements, récupérant de manière exhaustive des données telles que les mots de passe Wi-Fi, les SMS, l’historique des appels, l’historique de localisation, l’historique du navigateur, les données de la carte SIM et de la connexion cellulaire, ainsi que les bases de données relatives à la santé, aux notes et au calendrier, bien qu’il recherche également les portefeuilles de cryptomonnaies.
« La deuxième attaque de masse révélée en deux semaines prouve ce que beaucoup d’entre nous affirmons depuis longtemps : les attaques mobiles sont généralisées et ne peuvent plus être ignorées par les entreprises et les gouvernements », a déclaré Rocky Cole, cofondateur et directeur des opérations d’iVerify. « Il y a des années, les attaques par logiciels malveillants sans fichier qui retournaient les systèmes d’exploitation de bureau contre l’utilisateur ont complètement bouleversé l’informatique d’entreprise. DarkSword est le premier exploit iOS à faire de même, en collectant une quantité considérable de données utilisateur, bien que la chaîne d’exploitation elle-même ne soit pas aussi complexe que celle de Coruna. DarkSword montre que la surveillance de masse sur iOS est tout à fait réalisable. Les dirigeants d’entreprise vont-ils enfin en prendre conscience ? »
L’acteur malveillant russe déployant cette instance de DarkSword fait preuve d’une très mauvaise sécurité opérationnelle. Il a laissé le code JavaScript complet non obfusqué, non protégé et facilement accessible. Cette négligence, combinée à celle du groupe criminel chinois utilisant Coruna, a conduit à la découverte de ces deux attaques. Les exploits DarkSword et Coruna capturés en milieu naturel sont faciles à réutiliser et à redéployer, ce qui rend très probable que d’autres déploiements, peut-être modifiés, des logiciels espions DarkSword et Coruna infectent activement les utilisateurs iOS dont les appareils ne sont pas mis à jour, en plus d’être mis en vente sur le marché secondaire.
Étant donné que le code du serveur d'infiltration contenait des commentaires en russe et que la base de code de l'exploit contenait des noms de variables et des instructions de déploiement originaux en anglais, l'opérateur et le développeur sont probablement des entités différentes, ce qui suggère une acquisition indépendante de la chaîne d'exploits. Combiné à une sécurité opérationnelle médiocre, cela suggère plusieurs possibilités. Premièrement, l'acteur malveillant ne craint pas d'être pris car peu d'outils existent pour détecter réellement ces attaques iOS. Deuxièmement, l'offre d'exploits iOS est si importante que l'acteur malveillant ne craint pas d'en « brûler » un. Troisièmement, l'acteur malveillant n'a pas conscience de la valeur de l'exploit.
Quoi qu'il en soit, les preuves s'accumulent pour montrer que des criminels de bas niveau et des acteurs peu sophistiqués peuvent désormais accéder à des outils d'exploitation avancés, reflétant l'essor des économies du « malware-as-a-service » et du « ransomware-as-a-service ».
Sources : Rapport de iVerify, Rapport de Google
Et vous ?
Pensez-vous que ces rapports sont crédibles ou pertinents ?
Voir aussi :
Répondre avec citation
Partager