Une technique de piratage d’iPhone récemment découverte, baptisée DarkSword, constitue une menace importante pour des centaines de millions d’appareils iOS dans le monde. L’outil, intégré aux sites Web compromis, permet aux attaquants de voler silencieusement les données des iPhones vulnérables – un risque qui souligne une tendance croissante : les outils de piratage sophistiqués deviennent de plus en plus accessibles et aveugles.
La menace DarkSword
Des chercheurs de Google, iVerify et Lookout ont révélé conjointement l’existence de DarkSword. Cette technique exploite les vulnérabilités des anciennes versions du système d’exploitation iOS d’Apple, en particulier iOS 18, qui fonctionne encore sur environ 25 % des iPhones le mois dernier. Les attaquants injectent l’outil dans des sites Web ; tout iPhone visitant le site infecté peut être compromis instantanément.
La gravité réside dans sa simplicité : les pirates peuvent facilement déployer DarkSword sur leurs propres serveurs, transformant n’importe quel site Web en un vecteur d’infection potentiel. Cette facilité de déploiement est exacerbée par le fait que le code de l’outil a été laissé entièrement documenté, avec des commentaires explicatifs, sur des sites Web compromis.
Espionnage russe et prolifération
DarkSword a déjà été lié à des groupes d’espionnage parrainés par l’État russe, qui l’ont utilisé avec une autre boîte à outils avancée, Coruna. Les deux outils ont été déployés sur des sites Web ukrainiens pour récolter les données des visiteurs.
Toutefois, la menace s’étend au-delà des acteurs parrainés par l’État. DarkSword a également été observé dans des attaques ciblant des victimes en Arabie Saoudite, en Turquie et en Malaisie, indiquant sa prolifération auprès de plusieurs groupes de piratage. La large disponibilité de l’outil suggère qu’il s’agit désormais d’un atout commercialisable dans l’écosystème de la cybercriminalité.
Vol de données et techniques furtives
DarkSword est conçu pour voler des données sensibles, notamment des mots de passe, des photos, des messages, l’historique du navigateur, des entrées de calendrier, des données de santé et même des informations d’identification de portefeuille de crypto-monnaie. Il fonctionne à l’aide de logiciels malveillants « sans fichier », qui exploitent des processus système légitimes pour éviter d’être détectés et laisser des traces minimes.
Contrairement aux logiciels espions traditionnels, DarkSword ne persiste pas sur un appareil après le redémarrage. Au lieu de cela, il effectue une opération rapide de type « smash-and-grab », extrayant les données quelques minutes après l’infection.
Pourquoi c’est important
La disponibilité généralisée d’outils comme DarkSword est alarmante car elle réduit les barrières à l’entrée de la cybercriminalité. Auparavant, ces techniques étaient réservées à des attaques très ciblées contre des individus spécifiques. Désormais, ils sont accessibles à un plus grand nombre d’acteurs, y compris aux criminels motivés par l’argent, ce qui augmente le risque pour les utilisateurs moyens d’iPhone.
Apple a publié des mises à jour de sécurité, notamment des correctifs d’urgence pour les appareils plus anciens, mais le grand nombre d’appareils non corrigés exécutant des versions iOS vulnérables crée une surface d’attaque massive. La société souligne que maintenir les logiciels à jour est l’étape la plus critique que les utilisateurs puissent franchir.
Le marché de l’exploitation en expansion
L’émergence de DarkSword aux côtés de Coruna indique un marché de plus en plus actif pour les exploits zero-day. Les experts soupçonnent qu’une société de « courtage », peut-être Trenchant (une filiale de L3Harris), vend ces outils sans examen approfondi, ce qui leur permet de tomber entre les mains d’acteurs étatiques et de cybercriminels.
Cette tendance suggère que les techniques de piratage hautement efficaces ne sont plus réservées aux États-nations ou aux groupes de piratage d’élite. La marchandisation des exploits menace de déstabiliser la sécurité numérique, dans la mesure où les attaquants considèrent désormais les failles Zero Day comme des actifs jetables plutôt que comme des armes soigneusement gardées.
En fin de compte, la prolifération rapide d’outils comme DarkSword signifie une évolution vers des cyberattaques plus aveugles, où l’exploitation massive est prioritaire sur l’espionnage ciblé.
