Les chercheurs ont découvert une vaste campagne de logiciels espions ciblant les iPhones d’Apple, avec potentiellement des centaines de millions d’appareils vulnérables. Le logiciel malveillant, surnommé « Darksword », a été déployé sur des dizaines de sites Web ukrainiens ces dernières semaines et représente un marché croissant pour les outils de piratage sophistiqués, aux côtés d’un autre exploit récemment découvert appelé « Coruna ». Cette montée en puissance des capacités des logiciels espions commerciaux suscite des inquiétudes quant aux cyberattaques parrainées par l’État et motivées par des raisons financières.
La menace de l’épée noire
Darksword exploite les vulnérabilités des iPhones exécutant les versions iOS 18.4 à 18.6.2 (publiées entre mars et août 2025) pour voler des données sensibles, y compris des informations sur le portefeuille de crypto-monnaie. Google, Lookout et iVerify ont analysé conjointement le malware et l’ont découvert hébergé sur les mêmes serveurs que Coruna, ce qui indique une infrastructure partagée pour ces attaques.
Principales conclusions :
– Darksword a été utilisé dans des campagnes ciblant des individus en Arabie Saoudite, en Turquie, en Malaisie et en Ukraine.
– Les campagnes en Turquie et en Malaisie sont liées à PARS Defence, un fournisseur turc de services de surveillance commerciale.
– On estime que 220 à 270 millions d’iPhone restent vulnérables car les utilisateurs n’installent pas de mises à jour.
Pourquoi c’est important
La prolifération de logiciels espions puissants comme Darksword et Coruna démontre un changement dans le cyber-paysage. Auparavant, ces outils relevaient en grande partie du domaine des agences de renseignement des États-nations ; Aujourd’hui, ils sont de plus en plus accessibles aux entités criminelles bénéficiant d’incitations financières. Cette tendance est alarmante car elle abaisse les barrières à l’entrée pour les acteurs malveillants et élargit le potentiel de surveillance de masse et de vol de données.
“Il existe désormais un pipeline vérifié d’exploits récents qui se sont retrouvés entre les mains d’entités potentiellement criminelles à vocation financière”, déclare Justin Albrecht, chercheur principal chez Lookout.
Réponse d’Apple et action de l’utilisateur
Apple a reconnu les vulnérabilités exploitées par Darksword et affirme que des correctifs ont été publiés via plusieurs mises à jour au cours des dernières années. La société souligne que maintenir les logiciels à jour est la mesure la plus efficace contre de telles attaques. La fonction de navigation sécurisée d’Apple dans Safari bloque également les domaines malveillants connus.
Cependant, le grand nombre d’iPhone exécutant des versions iOS obsolètes (estimé entre 220 et 270 millions) laisse une vaste surface d’attaque exposée.
La négligence opérationnelle et les tendances futures
Les chercheurs notent que les opérateurs derrière Darksword et Coruna font preuve de pratiques de sécurité imprudentes. Cela suggère qu’ils ne se soucient pas de l’exposition, soit parce qu’ils possèdent une abondance d’outils, soit parce que leur objectif principal est l’exploitation massive plutôt que la furtivité à long terme.
La découverte successive de ces deux exploits indique qu’il existe un écosystème robuste pour les outils de piratage avancés. Le fait que ces outils soient utilisés dans des attaques massives avec une sécurité opérationnelle médiocre indique leur grande valeur et leur grande rentabilité.
En fin de compte, cette situation souligne la course aux armements constante entre les chercheurs en sécurité, les éditeurs de logiciels et les acteurs malveillants. Les utilisateurs doivent donner la priorité aux mises à jour logicielles et rester vigilants contre le phishing ou les visites suspectes de sites Web afin de minimiser leurs risques.
