La semaine dernière, des chercheurs en cybersécurité ont découvert une campagne de piratage ciblant les utilisateurs d’iPhone qui utilisait un outil de piratage avancé appelé DarkSword. Maintenant, quelqu’un a divulgué une version plus récente de DarkSword et l’a publiée sur le site de partage de code GitHub.
Les chercheurs avertissent que cela permettra à tout pirate informatique d’utiliser facilement ces outils pour cibler les utilisateurs d’iPhone exécutant d’anciennes versions des systèmes d’exploitation d’Apple qui n’ont pas encore mis à jour leur dernier logiciel iOS 26. Cela affecte probablement des centaines de millions d’iPhones et d’iPads activement utilisés, selon les propres données d’Apple sur les appareils obsolètes.
« C’est mauvais. Ils sont beaucoup trop faciles à réutiliser », a déclaré lundi à TechCrunch Matthias Frielingsdorf, co-fondateur de la startup de sécurité mobile iVerify. « Je ne pense plus que cela puisse être contenu. Nous devons donc nous attendre à ce que les criminels et autres commencent à déployer cela. »
Frielingsdorf a déclaré que ces nouvelles versions du logiciel espion DarkSword partagent la même infrastructure avec celles que lui et ses collègues d’iVerify ont analysées précédemment, bien que les fichiers soient légèrement différents. Les fichiers téléchargés sur GitHub sont simples, uniquement HTML et JavaScript, a-t-il déclaré, ce qui signifie que n’importe qui peut les copier et les coller et les héberger sur un serveur « en quelques minutes ou quelques heures ».
« Les exploits fonctionneront immédiatement », a déclaré Frielingsdorf. « Aucune expertise iOS n’est requise. »
Kimberly Samra, porte-parole de Google, qui a déjà analysé l’exploit DarkSword, a déclaré que les chercheurs de l’entreprise étaient d’accord avec l’évaluation de Frielingsdorf.
Contactez-nous
Avez-vous plus d’informations sur Darksword, Coruna ou d’autres outils gouvernementaux de piratage et de logiciels espions ? Depuis un appareil non professionnel, vous pouvez contacter Lorenzo Franceschi-Bicchierai en toute sécurité sur Signal au +1 917 257 1382, ou via Telegram, Keybase et Wire @lorenzofb, ou par e-mail.
Un amateur de sécurité qui s’appelle Matteyeux a également déclaré à TechCrunch qu’il était en effet trivial d’utiliser les échantillons de DarkSword divulgués. Matteyeux a écrit dans un article du lundi X qu’il avait réussi à pirater une tablette iPad mini exécutant iOS 18, la génération précédente du système d’exploitation vulnérable à DarkSword, en utilisant l’échantillon DarkSword « sauvage » qui circule en ligne.
Événement Techcrunch
San Francisco, Californie
|
13-15 octobre 2026
La porte-parole d’Apple, Sarah O’Rourke, a déclaré à TechCrunch que la société était au courant de l’exploit ciblant les appareils exécutant des systèmes d’exploitation plus anciens et obsolètes, et a publié une mise à jour d’urgence le 11 mars pour les appareils incapables d’exécuter les versions récentes d’iOS.
« Garder votre logiciel à jour est la chose la plus importante que vous puissiez faire pour maintenir la sécurité de vos produits Apple », a déclaré O’Rourke, ajoutant que les appareils dotés de logiciels mis à jour ne couraient aucun risque face à ces attaques signalées et que le mode de verrouillage bloquerait également ces attaques spécifiques.
Un porte-parole de Microsoft, propriétaire de GitHub, n’a pas immédiatement répondu à une demande de commentaire.
Le code, auquel TechCrunch ne fait pas de lien car il peut être utilisé dans des attaques actives, contient plusieurs commentaires décrivant le fonctionnement des exploits et comment les mettre en œuvre.
Un commentaire, probablement rédigé par l’un des développeurs ayant travaillé sur DarkSword, indique que l’exploit « lit et exfiltre les fichiers pertinents d’un point de vue médico-légal depuis des appareils iOS via HTTP », faisant référence au vol d’informations sur l’iPhone ou l’iPad d’une personne et à l’envoi des données sur Internet à un serveur contrôlé par un attaquant.
« Cette charge utile doit être injectée dans un processus avec une classe d’accès au système de fichiers », indique le commentaire.
Dans un cas, le code fait référence à une « activité post-exploitation » et décrit le processus après que le logiciel malveillant a accédé au téléphone de la personne et saisi son contenu, y compris ses contacts, ses messages, son historique d’appels et son trousseau iOS, qui stocke les mots de passe Wi-Fi et autres secrets, et les sauvegarde sur un serveur distant.
Un autre fichier contient des références au téléchargement de données sur un site Web ukrainien populaire de vêtements, bien que TechCrunch n’ait pas pu déterminer immédiatement pourquoi. DarkSword aurait été utilisé par des pirates informatiques du gouvernement russe contre des cibles ukrainiennes.
Ce logiciel espion particulier fonctionne spécifiquement contre les iPhones et iPads exécutant iOS 18, selon iVerify, Google et Lookout, qui ont également déjà analysé le malware DarkSword.
Selon les chiffres d’Apple, environ un quart de tous les utilisateurs d’iPhone et d’iPad utilisent toujours iOS 18 ou une version antérieure sur leur appareil. Avec plus de 2,5 milliards d’appareils actifs, cela équivaut probablement à des centaines de millions de personnes dont les appareils sont vulnérables aux attaques DarkSword.
C’est pourquoi Frielingsdorf recommande à chacun de mettre à niveau le système d’exploitation de son iPhone.
La découverte de DarkSword est intervenue quelques semaines seulement après que les chercheurs ont découvert une autre boîte à outils avancée de piratage d’iPhone connue sous le nom de Coruna. Comme TechCrunch l’a rapporté, Coruna a été initialement développé par l’entrepreneur de défense L3Harris, dont la division Trenchant fabrique des outils de piratage pour le gouvernement américain et ses alliés.
