Des journalistes ukrainiens consultaient leurs médias habituels. En quelques minutes, leurs iPhone avaient livré mots de passe, photos, messages WhatsApp et portefeuilles crypto à des hackers russes. Pas de lien piégé à cliquer, pas de fichier à ouvrir : la simple visite d’un site infecté suffisait. Ce mercredi, Google, iVerify et Lookout révèlent conjointement l’existence de DarkSword, un kit de piratage iOS d’une efficacité redoutable. Et un détail aggrave tout : son code source, commenté et documenté, est resté en accès libre sur les serveurs compromis.
Six failles exploitées, zéro clic nécessaire
DarkSword cible les iPhone sous iOS 18.4 à 18.7, soit la quasi-totalité de la pénultième version du système d’Apple. Le kit enchaîne six vulnérabilités distinctes pour prendre le contrôle complet de l’appareil. Parmi elles, deux failles de corruption mémoire dans JavaScriptCore (le moteur JavaScript de Safari) et un contournement des codes d’authentification de pointeurs, un mécanisme de sécurité censé empêcher l’exécution de code malveillant.
Tout se déclenche depuis Safari. La victime visite un site web compromis contenant une iframe invisible, un cadre caché dans la page, et l’exploit s’exécute silencieusement en arrière-plan. Selon l’analyse technique de Google Threat Intelligence Group (GTIG), les attaquants ont piégé des sites d’information ukrainiens et au moins un site gouvernemental. Les visiteurs naviguant depuis Chrome étaient même redirigés automatiquement vers Safari via un protocole interne pour garantir l’infection.
GTIG a observé DarkSword entre les mains de plusieurs groupes distincts depuis novembre 2025. Le plus actif, identifié comme UNC6353, est soupçonné de travailler pour le renseignement russe. Un second groupe, UNC6748, ciblait des utilisateurs saoudiens via un faux site imitant Snapchat. D’autres victimes ont été repérées en Turquie et en Malaisie.
Un vol éclair qui disparaît sans laisser de trace
Contrairement aux logiciels espions classiques qui s’installent durablement sur un appareil, DarkSword fonctionne en mode « smash-and-grab ». Le kit détourne des processus légitimes d’iOS pour aspirer les données, une technique dite « sans fichier » (fileless) qui rend la détection bien plus difficile. L’opération entière, du piratage initial à l’exfiltration des données, ne dure que quelques minutes, selon les chercheurs de Lookout. Ensuite, DarkSword efface ses fichiers temporaires et disparaît. Un simple redémarrage suffit à éliminer toute trace.
« Au lieu d’utiliser un spyware classique qui fouille brutalement le système de fichiers et laisse des tonnes d’artefacts, DarkSword utilise les processus système comme ils sont censés fonctionner », explique Rocky Cole, cofondateur d’iVerify, cité par Wired. « Ça laisse bien moins de traces. »
La liste des données aspirées donne le vertige : mots de passe enregistrés, photos (y compris captures d’écran et images masquées), bases de données WhatsApp et Telegram, SMS, historique d’appels, carnets d’adresses, historique de navigation, cookies, mots de passe Wi-Fi, données Apple Health, calendriers, notes, et identifiants de portefeuilles crypto (Coinbase, Binance, Ledger et d’autres). Le fait qu’un outil d’espionnage étatique cible aussi les cryptomonnaies intrigue les analystes. Lookout y voit soit un financement parallèle pour les opérations du groupe, soit le signe que des cybercriminels opèrent sous couvert étatique.
Le mode d’emploi traînait en accès libre
Le détail le plus préoccupant n’est peut-être pas l’exploit lui-même, mais la négligence de ceux qui l’ont déployé. Selon iVerify, les hackers ont laissé le code complet de DarkSword, non obfusqué et accompagné de commentaires en anglais détaillant chaque composant, directement sur les serveurs infectés. N’importe quel attaquant passant par là pouvait le copier et le réutiliser sur ses propres infrastructures.
« Quiconque récupère manuellement les différentes parties de l’exploit peut les mettre sur son propre serveur et commencer à infecter des téléphones. C’est aussi simple que ça », confirme Matthias Frielingsdorf, chercheur chez iVerify, dans les colonnes de Wired. « Le tout est bien documenté. C’est vraiment trop facile. »
Cette découverte arrive deux semaines après celle de Coruna, un autre kit de piratage iOS utilisé par les mêmes hackers russes. TechCrunch avait révélé que Coruna avait été développé par Trenchant, une filiale du sous-traitant militaire américain L3Harris, initialement conçu pour les services de renseignement des pays du Five Eyes (États-Unis, Royaume-Uni, Canada, Australie, Nouvelle-Zélande). Un ancien employé, Peter Williams, a plaidé coupable d’avoir revendu ces outils à Operation Zero, un courtier en exploits russe depuis sanctionné par le Trésor américain.
Des exploits jetables sur un marché en pleine expansion
L’enchaînement Coruna puis DarkSword dessine un tableau inquiétant pour l’ensemble des utilisateurs d’iPhone. Les exploits iOS, jadis considérés comme rares et réservés à des opérations chirurgicales contre des cibles individuelles (journalistes, dissidents, responsables politiques), sont désormais revendus et déployés sans discernement contre des milliers de personnes à la fois.
« Les gens pensaient que seuls les journalistes, les militants ou les opposants politiques étaient ciblés, et que ce n’était pas un problème pour les citoyens ordinaires », analyse Justin Albrecht, responsable du renseignement mobile chez Lookout, dans les colonnes de TechCrunch. « Maintenant qu’on voit des exploits iOS circuler via un courtier sans scrupules, il y a tout un marché pour que ça finisse entre les mains de cybercriminels. »
Rocky Cole va plus loin. Si les hackers utilisent DarkSword aussi ouvertement, sans même masquer le code source, c’est qu’ils peuvent en racheter un autre à tout moment. « Si celui-ci est grillé, j’irai en chercher un autre », résume-t-il auprès de Wired, décrivant la logique des attaquants. « Ils savent qu’il y en a d’autres en réserve. »
Un quart des iPhone encore dans la ligne de mire
Selon les chiffres publiés par Apple elle-même le mois dernier, près d’un quart des iPhone dans le monde tournent encore sous iOS 18. StatCounter confirme cette proportion. L’adoption relativement lente d’iOS 26, critiqué pour son interface « Liquid Glass » jugée trop animée et peu lisible par de nombreux utilisateurs, maintient une base massive d’appareils vulnérables à DarkSword.
Toutes les failles exploitées ont été corrigées dans iOS 26.3, précise iVerify. Apple n’a pas commenté les découvertes. Pour les propriétaires d’iPhone trop anciens pour passer à iOS 26, Apple pourrait rétroporter les correctifs comme elle l’avait fait pour Coruna, mais rien n’est confirmé à ce stade. En attendant, Google recommande d’activer le mode Isolement (Lockdown Mode) d’Apple pour limiter la surface d’attaque.
L’affaire DarkSword confirme une tendance que l’industrie de la sécurité redoutait : les failles zero-day pour iPhone ne sont plus le privilège de quelques agences de renseignement triées sur le volet. Elles s’achètent, se revendent et se déploient à grande échelle. Lookout et iVerify indiquent que leurs applications de sécurité mobile peuvent détecter les compromissions liées à DarkSword sous sa forme actuelle, mais GTIG précise avoir identifié trois familles de malwares distinctes (GHOSTBLADE, GHOSTKNIFE et GHOSTSABER) déployées via ce même kit, signe que d’autres variantes circulent probablement déjà.
