Navigation
Les derniers articles
Suivez en direct

DarkSword pirate des millions d’iPhone via des sites infectés

Un iPhone tenu en main affichant un crâne rouge et un code, symbolisant l'infection par le malware DarkSword et sa propagation à des millions d'appareils connectés.
Le kit d’exploit DarkSword cible les iPhone sous iOS 18 pour dérober des données sensibles. Les experts recommandent une mise à jour immédiate vers iOS 26.

TL;DR : L’essentiel

  • Des espions liés au gouvernement russe utilisent le kit DarkSword pour infiltrer des téléphones en Ukraine. Cet outil sophistiqué s’appuie sur des sites web compromis pour aspirer les données.
  • Près de 270 millions d’appareils fonctionnant sous iOS 18 restent exposés à cette menace. L’infection se produit sans aucun téléchargement, par simple consultation d’une page internet piégée via le navigateur Safari.
  • Le logiciel malveillant dérobe instantanément les historiques de messageries comme WhatsApp ou Telegram. Il cible également les portefeuilles de cryptomonnaies et les fichiers stockés dans le cloud de manière totalement silencieuse.
  • Cette attaque enchaîne six failles de sécurité pour contourner les protections du système. Bien qu’un redémarrage efface l’infection, les pirates exfiltrent l’essentiel des informations personnelles en seulement quelques minutes d’activité.

La découverte conjointe réalisée par Google, iVerify et Lookout rappelle l’usage des outils d’espionnage mobile. Jusqu’alors réservés à des cibles très précises et peu nombreuses, des kits d’exploitation sophistiqués comme DarkSword sont désormais déployés de manière indiscriminée. Cette prolifération transforme des vulnérabilités autrefois rares en menaces de masse, exploitant le retard de mise à jour d’une partie significative du parc mondial de smartphones Apple.

DarkSword automatise l’exfiltration de données massives

Le fonctionnement de DarkSword repose sur une approche dite de « smash-and-grab », comparable à un cambriolage éclair. Contrairement aux logiciels espions traditionnels qui tentent de s’installer durablement, ce kit privilégie une intrusion furtive et temporaire. Dès qu’un utilisateur consulte un site infecté, le code s’exécute pour aspirer les messages, les photos et les identifiants de connexion avant de disparaître lors du prochain redémarrage de l’appareil. Selon une analyse de Ars Technica, cette technique laisse très peu de traces techniques, rendant la détection particulièrement complexe pour les outils de sécurité classiques.

La menace concerne principalement les modèles fonctionnant sous iOS 18, une version du système d’exploitation encore largement utilisée. On estime que près d’un quart des utilisateurs d’iPhone n’ont pas encore adopté la version iOS 26, notamment en raison de critiques sur l’interface « liquid glass » jugée trop animée ou peu lisible par certains. Ce réservoir de victimes potentielles représente environ 270 millions d’appareils à travers le monde, offrant une surface d’attaque considérable pour les groupes de cybercriminels et les services de renseignement étrangers.

L'essentiel Cybersécurité, IA & Tech

Rejoignez la communauté. 3 fois par semaine, recevez l'analyse des tendances par Marc Barbezat. Pas de spam, juste de l'info.

Ou suivez le flux temps réel
Telegram Discord

Le logiciel cible spécifiquement les versions 18.4 à 18.6.2 du système d’exploitation. En exploitant des vulnérabilités au sein du navigateur Safari, DarkSword parvient à collecter les journaux d’appels, l’historique de localisation et même les données de l’application Santé. Cette polyvalence suggère que les attaquants ne cherchent pas seulement des informations politiques, mais également des données financières et privées pouvant être monétisées sur des marchés secondaires.

Une chaîne technique complexe qui contourne la sécurité d’Apple

Pour réussir à prendre le contrôle total de l’appareil, DarkSword enchaîne six vulnérabilités distinctes, dont trois étaient totalement inconnues des chercheurs au moment de leur première utilisation. L’attaque débute dans le navigateur Safari : une iFrame invisible charge un code malveillant qui s’échappe ensuite du « bac à sable », la zone sécurisée isolant normalement les applications. Comme l’explique The Verge, le malware transite par le processus GPU pour obtenir des privilèges au niveau du noyau du système avant d’injecter ses instructions dans un daemon, un composant légitime de l’iPhone.

Un aspect particulièrement préoccupant souligné par les chercheurs réside dans la facilité de réutilisation de cet outil. Le code de DarkSword a été retrouvé sur des sites compromis sans aucune protection ni camouflage, accompagné de commentaires explicatifs en anglais détaillant chaque étape de l’infection. Cette négligence de la part des attaquants initiaux permet à n’importe quel autre groupe de pirates de copier et de déployer la chaîne d’exploitation pour ses propres objectifs. Cette situation souligne la dangerosité des courtiers en failles de sécurité qui revendent ces outils à des acteurs peu scrupuleux, comme l’indique Mashable.

Cette absence d’obscurcissement du code est inhabituelle pour une opération d’espionnage d’État. Elle suggère que les opérateurs russes ont peut-être agi avec une forme de précipitation ou de confiance excessive, facilitant ainsi le travail d’analyse des firmes de cybersécurité. En laissant le kit « à nu » avec des commentaires sur des serveurs publics, ils ont pratiquement invité le reste de la communauté cybercriminelle à s’emparer de cette arme numérique pour cibler d’autres utilisateurs de smartphones Apple.

Des acteurs étatiques et commerciaux exploitent ces failles

Les premières traces d’utilisation de DarkSword remontent à la fin de l’année 2025. Trois entités distinctes ont été identifiées comme utilisatrices du kit : le groupe d’espionnage russe UNC6353 ciblant l’Ukraine, un groupe saoudien utilisant de faux domaines Snapchat, et la société de surveillance turque PARS Defense. Selon les informations relayées par Korben, DarkSword partage des infrastructures communes avec un autre kit nommé Coruna, lequel serait lié à des sous-traitants du gouvernement américain et revendu via des intermédiaires sanctionnés comme Operation Zero.

Face à cette offensive, Apple a déployé des correctifs de sécurité critiques. Pour les modèles les plus récents, le passage à iOS 26.3.1 neutralise l’ensemble des vulnérabilités exploitées par DarkSword. Pour les appareils plus anciens ne pouvant supporter la dernière mise à jour, des patchs d’urgence ont été publiés pour iOS 15 et iOS 16. Les autorités recommandent également l’activation du mode Lockdown pour les profils à haut risque, comme les journalistes ou les militants, afin de réduire drastiquement la surface d’exposition aux attaques basées sur le web.

La prolifération de ces outils montre que le marché des exploits mobiles devient plus agressif et moins sélectif. Là où ces attaques étaient autrefois l’apanage d’unités d’élite pour des cibles de haute valeur, elles sont aujourd’hui accessibles à des groupes moins sophistiqués. La capacité des courtiers à recycler des outils créés pour des gouvernements vers le secteur criminel privé pose un défi majeur pour la protection de la vie privée à l’échelle mondiale.

Si la réaction technique d’Apple permet aujourd’hui de protéger les utilisateurs à jour, l’existence d’un marché noir florissant pour ces outils de piratage « clés en main » suggère que de nouvelles variantes apparaîtront inévitablement. La vigilance reste de mise pour le public, dont la meilleure défense demeure l’application systématique des mises à jour logicielles dès leur disponibilité.

Pour approfondir le sujet

Mode Lockdown : l'iPhone se barricade contre l'extraction de données

Mode Lockdown : l'iPhone se barricade contre l'extraction de données

dcod.ch

Le Mode Lockdown protège l'iPhone contre les menaces ciblées, une option d'Apple ayant récemment empêché les autorités d'accéder aux données d'un appareil saisi. Lire la suite

Zéro paywall. Zéro pub.
DCOD reste en accès libre grâce à vos contributions. Chaque café compte.

☕ Je participe
Etiquettes

Fondateur et éditeur de DCOD - Restons en contact !

A lire également

Des idées de lecture recommandées par DCOD

Page frontale du livre 100 Faits à Savoir sur la Cybersécurité

100 Faits à Savoir sur la Cybersécurité

Vous êtes-vous déjà demandé comment les hackers parviennent à pénétrer des systèmes apparemment sécurisés ? Pourquoi entendons-nous tant parler des botnets et que peuvent-ils vraiment faire ? Et qu'en est-il de ce fameux quantum computing qui menace de bouleverser la cryptographie ?

📘 Voir sur Amazon
Page frontale du livre Cybersécurité Nouvelle Génération

Cybersécurité Nouvelle Génération: Défendre Contre les Attaques Intelligentes grâce à l'IA

Dans un paysage numérique dominé par des menaces en constante évolution, les stratégies traditionnelles de cybersécurité ne suffisent plus. Cybersecurity Next-Generation est votre guide incontournable pour comprendre et mettre en œuvre l'intelligence artificielle comme arme stratégique dans la lutte contre les cyberattaques intelligentes et adaptatives.

📘 Voir sur Amazon
Page frontale du livre Hacking et Cybersécurité Mégapoche pour les Nuls

Hacking et Cybersécurité Mégapoche pour les Nuls

Protéger-vous des hackers en déjouant toutes leurs techniques d'espionnage et d'intrusions et mettez en place une stratégie de cybersécurité dans votre entreprise grâce à ce livre 2 en 1.

📘 Voir sur Amazon

🛒 Les liens ci-dessus sont affiliés : en commandant via ces liens, vous soutenez la veille DCOD sans frais supplémentaires 🙏

💡

Note : Certaines images ou extraits présents dans cet article proviennent de sources externes citées à des fins d’illustration ou de veille.
Ce site est indépendant et à but non lucratif. 👉 En savoir plus sur notre cadre d’utilisation.