Vendredi, l’agence fédérale américaine de cybersécurité (CISA) a donné deux semaines aux administrations fédérales pour corriger trois failles iOS en urgence. La raison tient en un mot : DarkSword, un kit d’exploit capable de siphonner un iPhone complet, des portefeuilles crypto aux conversations WhatsApp, en visitant un simple site web piégé. Six failles, trois malwares, quatre groupes d’attaquants identifiés dans six pays. Et probablement d’autres encore dans l’ombre.
Un site web piégé, zéro clic, quelques secondes
DarkSword cible les iPhone sous iOS 18.4 à 18.7. Le scénario est d’une simplicité redoutable : l’utilisateur visite un site légitime dont le code a été compromis. Un iframe invisible charge un script JavaScript qui détecte le modèle d’iPhone et la version d’iOS. Si l’appareil correspond, la chaîne d’exploitation se déclenche sans aucune action supplémentaire de la victime.
Six failles s’enchaînent alors en cascade. Deux corruptions de mémoire dans JavaScriptCore, le moteur JavaScript de Safari, ouvrent la porte à l’exécution de code. Un contournement des protections d’authentification de pointeurs (PAC) permet de sauter dans un processus système privilégié. De là, l’exploit escalade les privilèges jusqu’au noyau iOS, réécrit les restrictions du sandbox et injecte du code malveillant dans plusieurs services système critiques : réseau, Wi-Fi, trousseau de clés, iCloud.
Le tout prend quelques secondes, selon les chercheurs de Lookout, la société de sécurité mobile qui a découvert DarkSword en pistant l’infrastructure d’un précédent kit d’exploit nommé Coruna. Google Threat Intelligence Group (GTIG) et iVerify ont collaboré à l’analyse, publiée de façon coordonnée la semaine dernière.
Le butin : un iPhone aspiré de fond en comble
Trois familles de malwares ont été identifiées par Google dans les campagnes DarkSword. GHOSTBLADE, un module de vol de données en JavaScript, ratisse large : portefeuilles Coinbase, Binance, Ledger et consorts, mots de passe enregistrés, photos (y compris les fichiers cachés), bases de données WhatsApp et Telegram, SMS, historique d’appels, historique de navigation, cookies, mots de passe Wi-Fi, données Apple Health, calendrier, notes et liste des applications installées.
GHOSTKNIFE, le deuxième, fonctionne comme une porte dérobée capable d’exfiltrer comptes connectés, messages, enregistrements audio et historique de géolocalisation. GHOSTSABER, le troisième, peut exécuter du code à distance et inventorier fichiers et comptes présents sur l’appareil.
Une fois les données collectées et envoyées vers un serveur de commande, DarkSword efface ses traces et se ferme proprement. Cette approche « hit-and-run », selon Lookout, complique considérablement la détection après coup. Contrairement aux logiciels espions classiques qui maintiennent un accès persistant, DarkSword frappe, vole et disparaît.
Des espions d’État aux voleurs de cryptos
Ce qui rend DarkSword particulièrement préoccupant, c’est sa diffusion. Les chaînes d’exploit iOS complètes coûtent habituellement plusieurs millions de dollars et restent entre les mains d’acteurs étatiques ou de sociétés de surveillance. DarkSword brise ce schéma.
Depuis novembre 2025, Google a identifié au moins quatre groupes distincts utilisant ce kit. Le premier, un cluster baptisé UNC6748, a ciblé des utilisateurs saoudiens via un faux site imitant Snapchat. En Turquie et en Malaisie, c’est PARS Defense, un vendeur turc de surveillance commerciale, qui a déployé DarkSword avec davantage de précautions opérationnelles, en chiffrant les échanges entre le serveur et la victime.
Le cas le plus préoccupant concerne UNC6353, un groupe d’espionnage que les analystes de Google soupçonnent d’être lié au renseignement russe. Ce groupe, qui utilisait déjà le kit Coruna l’été dernier, a basculé vers DarkSword en décembre 2025. Ses cibles : des sites gouvernementaux ukrainiens en .gov.ua, transformés en points d’eau piégés (watering holes). Les chercheurs de Lookout ont retrouvé des iframes malveillants injectés directement dans le code HTML de ces sites officiels.
Selon Lookout, DarkSword sert à la fois des objectifs d’espionnage alignés sur les intérêts du renseignement russe et des objectifs financiers, le vol de cryptomonnaies en tête. La frontière entre ces deux mondes n’a jamais été aussi poreuse.
Du code assisté par IA
Un détail intrigue les chercheurs. Lookout rapporte que le code de DarkSword comporte de nombreux commentaires explicatifs et des traces d’expansion assistée par de grands modèles de langage. « Ce malware est très sophistiqué et semble être une plateforme conçue professionnellement, permettant le développement rapide de modules », note la société dans son rapport. Le nom DarkSword lui-même provient d’une variable dans le code : « DarkSword-WIFI-DUMP ».
L’utilisation d’IA pour accélérer le développement de malwares n’est plus une hypothèse théorique. Elle se retrouve dans le code d’un exploit kit capable de compromettre les appareils les plus sécurisés du marché grand public. Lookout et iVerify soulignent que l’existence d’un marché secondaire pour ce type d’outils, autrefois réservés à une poignée d’États, permet désormais à des groupes aux ressources plus limitées d’acquérir des armes numériques de premier ordre.
Les correctifs existent, reste à les appliquer
Apple a corrigé les six vulnérabilités exploitées par DarkSword. Les correctifs sont intégrés dans iOS 26.3 et dans les dernières mises à jour de toutes les branches depuis iOS 15. Les appareils sous iOS 17 et versions ultérieures bénéficient d’une couche de protection supplémentaire grâce à la fonction Memory Integrity Enforcement, qui bloquait déjà ces attaques selon Apple.
Le Mode Isolement (Lockdown Mode), activable dans les réglages de sécurité, protège également contre DarkSword et son prédécesseur Coruna, d’après Apple et les trois équipes de chercheurs.
La CISA a fixé au 3 avril la date limite pour les agences fédérales américaines. L’agence recommande aux organisations du secteur privé de faire de même. Côté utilisateurs, la consigne reste identique : mettre à jour iOS, activer l’authentification à deux facteurs et éviter de cliquer sur des liens d’origine inconnue.
Google prévient que d’autres acteurs, au-delà des quatre identifiés, pourraient déjà utiliser DarkSword. L’émergence d’un marché secondaire pour des exploits de ce calibre dessine un paysage où les outils d’espionnage étatique circulent aussi librement que les kits de phishing. La prochaine chaîne d’exploit n’attendra pas que les mises à jour soient installées.
