Tech

DarkSword : des millions d’iPhone visés par une chaîne d’exploits — vos données sont-elles déjà compromises ?

Une chaîne d’exploits baptisée « DarkSword » a ciblé des millions d’iPhone en exploitant six vulnérabilités zero‑day d’iOS, selon les chercheurs de Google, iVerify et Lookout. Le constat est sérieux : ces failles ont permis l’installation d’au moins trois familles de malwares capables de voler des données sensibles, d’activer caméras et microphones, et d’exfiltrer des informations issues d’applications de messagerie et de portefeuilles cryptos. Apple a publié des correctifs, mais l’alerte illustre à quel point la menace mobile reste vivace et sophistiquée.

Comment fonctionne la chaîne DarkSword ?

DarkSword n’est pas un simple malware isolé, mais une chaîne d’exploits : plusieurs vulnérabilités s’enchaînent pour franchir les protections d’iOS et déployer des charges malveillantes. Les chercheurs ont identifié que ces failles affectaient des versions d’iOS allant de la 18.4 à la 18.7. L’infection typique commence par une technique « watering hole » : la victime visite un site compromis via Safari. Ce site contient alors un dispositif d’exploitation qui, s’il rencontre un appareil vulnérable, déclenche l’exécution d’un ou plusieurs modules malveillants.

Trois familles de malwares : GHOSTBLADE, GHOSTKNIFE, GHOSTSABER

Les experts ont décrit trois familles distinctes déployées via DarkSword :

  • GHOSTBLADE : un infostealer/spyware complet. Il recueille les données d’applications de messagerie, les informations des portefeuilles cryptos, la liste des applications installées, les cookies et signets des navigateurs. Il peut également prendre des photos, faire des captures d’écran et accéder à la position géographique.
  • GHOSTKNIFE : une backdoor multifonction qui permet d’exfiltrer des messages, des comptes, des données de navigateur, et qui peut enregistrer l’audio via le micro et capturer des captures d’écran. Elle offre un accès à distance persistant tant que la session n’est pas nettoyée.
  • GHOSTSABER : une autre backdoor axée sur la collecte d’informations système, l’inventaire des applications installées et l’extraction de fichiers ciblés.
    • Article à lire  Fuite choc : 17,5 millions de comptes Instagram exposés — changez vos mots de passe maintenant ou risquez le pire

    Pas de persistance long terme : une stratégie d’exfiltration furtive

    Une caractéristique notable de DarkSword est l’absence de persistance longue durée. Après avoir collecté et envoyé les données aux serveurs contrôlés par les attaquants, les composants malveillants effacent leurs traces. Cette tactique vise à compliquer la détection post‑incident et à réduire les chances de récupération d’indices par les victimes ou les premiers intervenants. Autrement dit, les campagnes privilégient la récolte massive et rapide d’informations plutôt que l’infection prolongée d’appareils individuels.

    Qui sont les acteurs derrière ces campagnes ?

    Les analyses pointent vers l’implication de groupes cybercriminels organisés. Les chercheurs citent notamment :

  • UNC6353 : un groupe russe qui a déjà utilisé des toolkits d’espionnage similaires (référence au toolkit Coruna) ; ses cibles précédentes incluent des utilisateurs en Ukraine.
  • UNC6748 : identifié comme ayant ciblé des utilisateurs en Arabie Saoudite dans des opérations analogues.

    • Ces identifications montrent que les campagnes sont souvent ciblées géographiquement et peuvent s’inscrire dans des logiques d’espionnage politique, économique ou géostratégique.

    Que faire immédiatement ? Les recommandations pratiques

    Face à une menace exploitant des zero‑days, la première ligne de défense est la mise à jour logicielle :

  • Installer la dernière version d’iOS disponible : Apple a publié les correctifs graduellement à partir d’iOS 18.6. Les chercheurs recommandent d’installer iOS 26.3.1 (ou, pour appareils plus anciens, iOS 18.7.6) afin de combler les six vulnérabilités exploitées.
  • Activer la Lockdown Mode (Mode Isolement) pour les utilisateurs exposés : cette fonctionnalité renforce la sécurité du terminal en limitant certaines interactions et surfaces d’attaque — utile pour journalistes, activistes, dirigeants ou toute personne à risque élevé.
  • Éviter de visiter des sites non‑fiables via Safari et maintenir le contenu Safe Browsing activé : Google a ajouté les domaines compromis à son service Safe Browsing pour avertir les utilisateurs.
  • Surveiller les signes d’intrusion : activités suspectes, drains de batterie, bruitages ou comportements anormaux des applications.
    • Article à lire  MacSync : un malware signé par Apple contourne Gatekeeper et vole vos mots de passe — êtes‑vous déjà compromis ?

    Quels risques concrets pour les utilisateurs ?

    Les conséquences peuvent être lourdes : vol d’identifiants, compromission de portefeuilles cryptos, surveillance par activation de la caméra ou du micro, exposition d’échanges privés. Les utilisateurs professionnels et ceux manipulant des informations sensibles sont particulièrement vulnérables. Même lorsque les malwares ne restent pas persistants, l’instantané d’exfiltration peut suffire à causer des dégâts irréversibles (perte de fonds numériques, chantage, divulgation de communications privées).

    Que fait Apple ?

    Apple a progressivement publié des correctifs corrigeant les vulnérabilités exploitées par DarkSword. La firme a intérêt à colmater rapidement ces failles, d’une part pour protéger ses utilisateurs, d’autre part pour préserver la confiance dans iOS. Toutefois, la découverte et la correction d’exploits zero‑day illustrent la course permanente entre chercheurs/défenseurs et attaquants, et la nécessité d’un cycle de mise à jour rapide et coordonné.

    Enjeux plus larges : sécurité mobile et responsabilité

    DarkSword rappelle plusieurs réalités structurelles :

  • l’importance cruciale des mises à jour régulières et de leur adoption par les utilisateurs ;
  • la sophistication croissante des attaques ciblant les environnements mobiles, qui exigent des capacités de détection et de réponse adaptées chez les fournisseurs de sécurité ;
  • la responsabilité partagée : éditeurs d’OS, fournisseurs de navigateurs, gestionnaires de sécurité et utilisateurs doivent coopérer pour réduire la surface d’attaque.

    • Ce qu’il faut surveiller ensuite

    Les investigations vont se poursuivre : identification de nouveaux domaines compromis, traçage des serveurs de commandement et contrôle, et analyses forensiques des victimes potentielles. Les initiatives de Google Safe Browsing et les correctifs Apple sont des étapes essentielles, mais il restera indispensable d’évaluer l’impact réel (nombre d’appareils infectés, données exfiltrées) et d’améliorer les mécanismes de prévention à l’échelle des entreprises et des institutions.

    Article à lire  Ce petit + sur Google va tout changer : chargez un fichier et l’IA vous dit tout — voici comment l’utiliser dès maintenant

    Related Posts

    You May Have Missed