Tech

Coruna : le kit d’exploit qui compromet les iPhone et vole vos cryptos — êtes‑vous encore en sécurité ?

Coruna : un kit d’exploit redoutable qui cible les iPhone obsolètes et dérobe des cryptomonnaies

Les chercheurs en sécurité de Google Threat Intelligence Group (GTIG) viennent d’alerter sur un ensemble d’exploits baptisé « Coruna », capable de compromettre des iPhone fonctionnant de iOS 13 à iOS 17.2.1. Plus inquiétant encore : ce kit ne se contente pas de siphonner des données personnelles, il a été utilisé pour voler des cryptomonnaies depuis des portefeuilles mobiles. L’histoire rappelle, par son ampleur et ses implications, des épisodes précédents où des outils d’espionnage développés pour des acteurs étatiques ont fini dans la nature et ont ensuite alimenté le crime organisé. Il est urgent que les utilisateurs concernés mettent à jour leur système s’ils le peuvent, et que les responsables de la cybersécurité comprennent comment ce kit a été diffusé.

Qu’est‑ce que Coruna ? Un arsenal d’exploits sur plusieurs versions d’iOS

Coruna est décrit comme une collection de 23 exploits tirant parti de vulnérabilités présentes dans iOS depuis la version 13 jusqu’à la 17.2.1. Ces failles touchent notamment WebKit et Safari, deux composants critiques du navigateur et des moteurs d’affichage. Un des vecteurs d’infection mis en lumière par les chercheurs est la technique dite du « watering hole » : les attaquants compromettent des sites fréquentés par la cible (dans un cas cité, un site ukrainien), injectent du JavaScript malveillant et attendent la visite de l’appareil vulnérable pour lancer l’exploit.

Des usages multiples : surveillance étatique, crime organisé et vols de cryptos

Les traces d’utilisation de Coruna révèlent une trajectoire sinueuse et préoccupante. Les premières utilisations détectées remontent à février 2025, lorsqu’un client d’une entreprise de surveillance a exploité une vulnérabilité WebKit (CVE‑2024‑23222) — corrigée par Apple dans iOS 17.3. Ensuite, en juillet 2025, des acteurs russes ont déclenché une campagne via un site compromis. Enfin, fin 2025, des groupes chinois ont exploité des sites frauduleux de paris et de cryptomonnaies pour propager les mêmes techniques. L’objectif n’est pas uniquement l’espionnage : dans plusieurs incidents, les attaquants ont ciblé directement les portefeuilles numériques présents sur les appareils pour en extraire des fonds.

Article à lire  Windows 11 : attention — la mise à jour KB5074109 peut empêcher votre PC de démarrer (ce que Microsoft révèle et comment éviter la catastrophe)

Origine et diffusion : un outil d’État devenu « marché de seconde main »

Selon les analystes, Coruna aurait été initialement développé par une entreprise spécialisée dans les logiciels espions et vendu à un gouvernement — des allégations que iVerify a relayées en faisant mention d’une transaction vers les États‑Unis. Quel que soit le destinataire initial, la suite est désormais familière et inquiétante : l’outil a fuité ou a été revendu, atterrissant sur des marchés clandestins et finalement entre les mains de cybercriminels. Le parallèle avec EternalBlue et les conséquences qui en ont découlé (WannaCry, NotPetya) est frappant : un outil puissant, conçu pour l’usage contrôlé d’un État, se transforme en vecteur de dommages massifs lorsqu’il est diffusé hors de son contrôle.

Qui est exposé ? Les iPhone non mis à jour, cible prioritaire

La portée de Coruna touche avant tout les anciens iPhone et, donc, des utilisateurs qui n’ont pas effectué les mises à jour récentes. Apple a corrigé l’ensemble des vulnérabilités exploitées par Coruna avec les versions ultérieures d’iOS (jusqu’à iOS 26 selon les communiqués), mais les terminaux non éligibles aux mises à jour restent vulnérables. Il faut rappeler que de nombreux utilisateurs conservent des modèles plus anciens — pour des raisons économiques, habitudes ou compatibilité d’applications — et constituent ainsi une « proie » de choix pour ce type de campagne.

Technique d’attaque : du JavaScript au payload, une chaîne complexe

La sophistication technique de Coruna réside dans la combinaison : exploitation d’une vulnérabilité navigateur via JavaScript, exécution d’un code capable d’élever les privilèges, puis déploiement d’un payload persisté permettant l’accès à distance et la manipulation des applications sensibles (wallets, messageries, données personnelles). L’usage de services publics ou intermédiaires (ex. sites compromis, serveurs publics) pour héberger des étapes du processus facilite la dissémination et complique l’attribution rapide.

Article à lire  YouTube Premium Lite ajoute le téléchargement et la lecture en arrière‑plan — fini de payer le plein tarif ?

Vol de cryptomonnaies : une menace tangible

Parmi les finalités observées, le vol de cryptomonnaies est particulièrement pernicieux. Les portefeuilles mobiles, souvent protégés par des phrases mnémoniques ou des clés privées stockées localement, deviennent vulnérables si un attaquant obtient l’accès complet au système. Les opérations sont alors rapides et difficiles à inverser : une transaction blockchain, une fois signée et validée, est irréversible. Pour les victimes, cela signifie une perte financière directe et souvent définitive.

Mesures à prendre immédiatement pour se protéger

  • Mettre à jour iOS vers la version la plus récente supportée par votre appareil. Si votre iPhone ne peut pas recevoir le correctif, évaluer le remplacement du terminal.
  • Éviter de visiter des sites douteux ou des liens partagés via messages non sollicités, en particulier ceux dédiés aux paris ou aux cryptomonnaies.
  • Utiliser des wallets matériels (hardware wallets) pour stocker des cryptomonnaies, plutôt que des wallets exclusivement mobiles.
  • Activer les protections disponibles : verrouillage biométrique, double authentification pour les services critiques, et surveiller les applications demandant des permissions inhabituelles.
  • Considérer des solutions de sécurité mobile d’entreprise ou grand public offrant détection comportementale et protections contre l’exécution d’exploits.

    • Enjeux politiques et éthiques : vendre des exploits à des États, puis au marché noir

    Le cas Coruna illustre un dilemme majeur de la cybersécurité contemporaine : la production d’outils d’offensive par des entreprises privées et leur commercialisation aux gouvernements est un marché opaque. Lorsqu’un de ces outils fuit ou est revendu, les conséquences sont globales. Les États, les entreprises et la société civile doivent donc peser les risques d’une telle économie des exploits et renforcer les cadres d’exportation, de traçabilité et de responsabilité autour de ces technologies.

    Article à lire  Gemini bientôt votre guide de voyage : montrez une carte et l’IA vous dit où manger, boire et flâner (mais attention aux pièges)

    Ce qu’il faut surveiller ensuite

  • Les rapports d’incidents confirmant les victimes et la nature exacte du payload employé.
  • L’analyse forensique des serveurs C2 et des infrastructures associées pour remonter aux opérateurs.
  • Les annonces d’Apple relatives à l’étendue des correctifs et la communication sur les appareils non pris en charge.
  • Les initiatives internationales visant à réguler la vente d’outils d’offensive et à prévenir leur prolifération.

    • Related Posts

    You May Have Missed