Un simple site piégé permet de pirater 270 millions d’iPhone en quelques minutes. Un redoutable outil de piratage a été impliqué dans plusieurs cyberattaques menées par des hackers russes au cours des derniers mois. Il peut voler vos photos, vos messages, vos mots de passe ou vos portefeuilles crypto, puis disparaître sans laisser presque aucune trace. Le kit cible les iPhone qui n’ont pas été mis à jour.
Un nouveau kit d’exploitation de failles iOS a été découvert par les chercheurs de Lookout, avec l’appui des experts du Google Threat Intelligence Group (GTIG) et d’iVerify. Baptisé DarkSword, ce kit de piratage permet de voler de grandes quantités de données personnelles, notamment celles des applications de portefeuilles de cryptomonnaies. L’outil est taillé pour pirater les iPhone tournant sous des versions d’iOS allant d’iOS 18.4 à 18.7.
Selon les investigations des chercheurs, DarkSword est capable d’exploiter au moins six vulnérabilités présentes dans le code d’iOS. Toutes ces failles sont bien connues et ont déjà été corrigées par Apple dans les dernières mises à jour d’iOS. C’est « une nouvelle phase des menaces mobiles », dans laquelle des « capacités d’exploitation avancées sont de plus en plus utilisées à des fins financières », explique Lookout. Les malwares mobiles avancés ont « cessé d’être un outil uniquement utilisé par les gouvernements pour l’espionnage et sont désormais entre les mains de groupes cherchant un gain financier », ajoute le rapport.
À lire aussi : Espionnage sur l’iPhone – comment ce spyware peut vous filmer et vous écouter à votre insu
Un kit exploité par les cybercriminels
Depuis le mois de novembre 2025, le kit de piratage a été massivement exploité par des cybercriminels. Trois différentes familles de virus se sont servies de l’outil pour pénétrer dans l’iPhone, à savoir Ghostblade, Ghostknife et Ghostsaber. Parmi les gangs qui ont exploité DarkSword, on trouve des pirates mandatés par les services de renseignement de la Russie. Ces hackers ont utilisé le kit pour s’en prendre à des cibles ukrainiennes.
Combiné à des malwares comme Ghostblade, Ghostknife et Ghostsaber, DarkSword est capable d’exfiltrer une montagne de données d’un iPhone. Il vise surtout les données de portefeuilles crypto, l’historique de navigation, photos, la localisation, les messages et métadonnées provenant d’iMessage, Telegram, WhatsApp, ainsi que tous les e-mails, les listes d’appels, les contacts et tous les comptes connectés. L’outil est aussi en mesure de dérober les mots de passe enregistrés dans Trousseau, l’historique et les mots de passe Wi‑Fi, les données de l’application Santé, le calendrier, les notes, la liste des applications installées, ainsi que les cookies. Une fois que tout a été siphonné, l’outil cesse de fonctionner.
À lire aussi : Alerte rouge sur l’iPhone – Apple révèle qu’une opération d’espionnage frappe la France
Il suffit de visiter un site piégé
Une cyberattaque orchestrée par DarkSword commence dans Safari, le navigateur par défaut de l’iPhone. Tout commence par une simple visite sur un site web piégé. Lorsque l’utilisateur se rend sur le site mis au point par les pirates, il va tomber, sans s’en rendre compte, sur une iframe malveillante, à savoir un cadre invisible qui va charger un script. Celui-ci va s’assurer que l’iPhone tourne sur une version d’iOS compatible avec DarkSword.
Si c’est le cas, le script va exploiter une vulnérabilité dans WebKit, le moteur de rendu principal de Safari. C’est grâce à Webkit que le navigateur est capable d’afficher les pages web et d’interpréter le code HTML, CSS et JavaScript. En exploitant cette faille, le script pirate va pouvoir exécuter du code dans un processus de Safari. À ce stade, le pirate contrôle Safari, mais il reste cantonné aux limites du navigateur. C’est l’une des mesures de sécurité prises par Apple pour endiguer les intrusions.
Pour sortir de Safari, et se lancer à l’assaut du reste de l’iPhone, DarkSword va alors exploiter deux autres vulnérabilités d’iOS. Une fois que c’est fait, le kit va utiliser une vulnérabilité du noyau iOS pour modifier les règles de sécurité du système d’exploitation. À ce stade, les pirates ont pratiquement tous les droits sur l’appareil infecté. Ils vont alors injecter des morceaux de code malveillant dans le système. Ces injections vont permettre d’aspirer toutes les données qu’ils souhaitent sur le smartphone. Les données sont regroupées puis envoyées vers un serveur informatique.
Après l’exfiltration, les scripts suppriment les fichiers temporaires et tous les processus activés se terminent automatiquement. Une fois que c’est fini, il ne reste quasiment rien à analyser sur l’appareil. Les pirates font tout pour ne pas laisser de traces. L’attaque ne prend que « quelques minutes », estime Lookout. C’est pourquoi les experts ont qualifié le mode opératoire de DarkSword de « hit-and-run
», soit « frapper et courir » en français. Encore plus préoccupant, l’attaque nécessite « peu ou pas d’interaction de l’utilisateur ». Selon les chercheurs de Lookout, des pirates russes ont trafiqué plusieurs sites du gouvernement ukrainien pour y glisser leurs scripts malveillants. C’est de cette façon que certaines cyberattaques ont débuté.
« Il suffit de naviguer vers un site web compromis depuis un iPhone vulnérable, avec une adresse IP ukrainienne, pour déclencher l’exécution », explique iVerify.
De l’importance de garder votre iPhone à jour
Comme évoqué plus haut, le kit de piratage ne vise que les iPhone qui tournent encore sur des versions bien précises d’iOS 18. Pour se protéger contre les cyberattaques et les vols de données, il suffit donc d’installer une version plus récente du système d’exploitation iOS. Les dernières versions d’iOS, comme iOS 26, sont en effet imperméables aux attaques reposant sur DarkSword. Toutes les vulnérabilités sur lesquelles repose l’outil de piratage ont été colmatées par les équipes d’Apple.
Selon les calculs d’iVerify, « 14,2% des utilisateurs d’iPhone, soit environ 221,5 millions d’appareils » dans le monde sont toujours vulnérables aux attaques menées par DarkSword. En comptant « l’ensemble des appareils sous iOS 18 susceptibles d’être affectés », les chercheurs estiment que 270 millions d’iPhone sont toujours vulnérables.
Notez que DarkSword a été débusqué peu après un autre kit de piratage redoutable, Coruna. Vraisemblablement développé par une agence de renseignement américaine, le kit permet d’exploiter 23 failles dans le code d’iOS pour prendre le contrôle d’un iPhone. Là encore, le kit se cachait sur des sites web compromis. En miroir de DarkSword, Coruna a été utilisé par des hackers russes.
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp.