Les outils de piratage Coruna et DarkSword, autrefois réservés aux campagnes ciblées, sont désormais accessibles en ligne. Leur diffusion soulève d’importantes inquiétudes quant à la sécurité des iPhone dans le monde professionnel. Ces chaînes d’exploitation combinent plusieurs vulnérabilités d’iOS pour compromettre les appareils sans interaction de la victime.
Cette fuite révèle une nouvelle étape dans la démocratisation des outils cybercriminels. Les versions ciblées par ces kits anciennes, intermédiaires ou récentes, laissent un vaste parc d’appareils vulnérables. Les enjeux concernent la confidentialité des données sensibles, la protection des infrastructures ainsi que la nature même de la menace numérique contemporaine.
Coruna et DarkSword : des chaînes d’exploitation sophistiquées pour pirater iOS
Les outils Coruna et DarkSword exploitent un enchaînement complexe de vulnérabilités dans le système iOS. Ils sont conçus pour infiltrer les iPhone et iPad en exploitant des failles successivement, garantissant un contrôle total sur le noyau. Ces toolkits s’adressent ainsi à différentes versions du système, de iOS 13 jusqu’aux plus récentes, iOS 18.7 et 26.2.
Coruna cible essentiellement les appareils fonctionnant sous des versions intermédiaires, de iOS 13 à 17.2.1, tandis que DarkSword s’attaque aux itérations plus récentes sorties fin 2025 et début 2026. Cette dissociation permet à ces kits de couvrir une large part du parc mondial d’iPhone, augmentant ainsi considérablement le risque d’exploitation.
La sophistication de ces outils repose sur la combinaison de plusieurs vulnérabilités, dont des failles dans le moteur JavaScript de Safari. Cette technique permet de déclencher l’exécution de code malveillant dès la simple visite d’un site compromis, sans nécessité d’un clic supplémentaire. Cette méthode réduit drastiquement la possibilité de défense des utilisateurs.
Des attaques réparties mondialement, des cibles variées et des usages commerciaux
Les analyses du Google Threat Intelligence Group (GTIG) révèlent l’utilisation de DarkSword dans différentes campagnes globales. Des groupes étatiques, ainsi que des vendeurs commerciaux de logiciels espions comme PARS Defense en Turquie, emploient cette chaîne d’exploit pour cibler des pays variés. Parmi les zones touchées figurent l’Arabie Saoudite, la Malaisie, la Turquie ou encore l’Ukraine.
L’opération illustre une menace segmentée : certains acteurs exploitent des infrastructures de sites légitimes compromis pour diffuser le malware tandis que d’autres utilisent des leurres sophistiqués, par exemple un faux site Snapchat en Arabie Saoudite. Cette diversité témoigne de la modularité des outils et de leur adaptation aux objectifs variés, qu’ils soient politiques, commerciaux ou de renseignement.
Le logiciel espion déployé après compromission offre des fonctionnalités avancées. GHOSTKNIFE permet de capter les données audio et de localisation en temps réel, tandis que GHOSTSABER interroge les bases de données internes à distance. GHOSTBLADE, plus axé sur la collecte massive, cible les mots de passe, données de santé et portefeuilles numériques, ce qui pose des risques lourds pour la sécurité des données professionnelles.
Conséquences pour la sécurité numérique et recommandations pour les professionnels
La fuite partielle et publique de DarkSword marque un tournant dans la menace portée contre les utilisateurs d’iPhone. Alors que Coruna circulait dans des réseaux restreints, DarkSword rend ces outils accessibles et donc plus susceptibles d’être utilisés largement. Cette évolution complexifie la gestion des risques informatiques pour les entreprises et les professionnels.
Apple insiste désormais sur la nécessité de passer aux dernières versions d’iOS, notamment iOS 26.3, pointant ces mises à jour comme cruciales pour neutraliser les failles exploitées. En parallèle, les modes de protection avancés, tels que le Lockdown Mode, deviennent essentiels, particulièrement pour les esprits à risques élevés ou exposés à des menaces ciblées.
Il est impératif de renforcer les procédures de gestion des correctifs, sensibiliser les utilisateurs à la prudence face à la navigation web et surveiller les infrastructures pour détecter d’éventuelles compromissions. La diffusion publique de ces kits souligne l’importance d’une veille technologique constante et des politiques de sécurité adaptées à l’évolution rapide des techniques d’attaque.
- Partager l'article :
