Une nouvelle menace pour les utilisateurs d’iPhone a été mise en lumière, révélant une technique sophistiquée permettant aux attaquants de compromettre facilement des dispositifs via des sites web infectés. Cette nouvelle vulnérabilité pourrait toucher des millions de personnes à travers le monde.
Centaines de millions d’iPhones vulnérables
Selon plusieurs recherches, DarkSword est une vulnérabilité exploitée par des hackers à travers une méthode de type watering hole, où des sites légitimes sont infectés pour pirater les dispositifs des victimes. Un simple chargement de la page par un iPhone vulnérable permet à l’attaquant d’accéder au téléphone.
Contrairement aux logiciels espions classiques, DarkSword n’installe aucun fichier sur le dispositif. La technique utilise des méthodes de malware sans fichiers, prenant le contrôle des processus du système d’exploitation pour dérober des informations.
Elle exploite six vulnérabilités distinctes à travers deux chaînes d’attaques, touchant tout d’abord le moteur de rendu WebKit puis le Core de iOS. Les ingénieurs de sécurité notent que l’exploit opère très rapidement, extrayant le plus de données possibles avant de disparaître après un redémarrage de l’appareil. Ne laissant pas de fichiers, il complique sa détection.
DarkSword permet un accès facile aux données
Dès qu’un utilisateur visite un site infecté, les hackers sont capables de voler une quantité alarmante de données, telles que messages texte, historique d’appels, mots de passe Wi-Fi, historique de navigation et informations de localisation, ainsi que des données de portefeuilles de cryptomonnaies. Ils peuvent aussi accéder aux enregistrements de iMessage, WhatsApp et Telegram, aux données du calendrier et de l’application notes, ainsi qu’aux informations de Apple Health.
Selon le Groupe d’Intelligence de Menaces de Google, le DarkSword est utilisé depuis au moins novembre 2025 par divers acteurs, y compris des fournisseurs de logiciels espions et des groupes d’espionnage soutenus par des États. Des campagnes visant des pays comme l’Arabie Saoudite, la Turquie, la Malaisie et l’Ukraine ont été détectées.
Le cas le plus documenté concerne le groupe UNC6353, un groupe d’espionnage russe ayant utilisé la plateforme Coruna sur des sites ukrainiens, y compris un serveur gouvernemental. En Turquie et en Malaisie, des clients de la société PARS Defense, spécialisée en sécurité, ont été identifiés comme utilisant DarkSword.
Une simple visite sur un site suffit
Un aspect surprenant du rapport est que les hackers ont laissé le code de DarkSword totalement exposé, sans aucune forme d’obscurcissement. Des commentaires explicatifs en anglais, comprenant le nom de l’outil, sont accessibles à quiconque visitant les sites infectés.
Comme observé avec Coruna, cet outil cible des téléphones qui n’ont pas la dernière version du système d’exploitation. L’équipe de recherche a révélé que DarkSword affecte les appareils fonctionnant sous iOS 18.4 à 18.7. Selon des données d’Apple, ces versions sont encore présentes sur environ 270 millions d’iPhones dans le monde.
La bonne nouvelle est qu’Apple a déjà corrigé toutes les vulnérabilités avec la sortie de iOS 26. La société a également publié des mises à jour d’urgence pour les modèles plus anciens qui ne sont pas compatibles avec la version la plus récente du système.