Un kit de piratage ultra-sophistiqué permettant de pirater l’iPhone a été débusqué par Google. Exploité dans des cyberattaques en Ukraine et en Chine, le kit aurait été conçu pour des missions de renseignement… par le gouvernement américain.
Début de l’an dernier, les équipes de sécurité de Google sont tombées par hasard sur des techniques d’exploitation avancées permettant de pirater l’iPhone. Ces tactiques, encore jamais vues, ont été débusquées « chez le client d’une société de surveillance ». Entre février et juillet 2025, les chercheurs de Google ont pu relier ces techniques d’exploitation à un total de 23 vulnérabilités distinctes d’iOS. Les experts ont regroupé les tactiques épinglées, capables d’exploiter les failles d’iOS, sous le nom de « Coruna ».
À lire aussi : Espionnage sur l’iPhone – comment ce spyware peut vous filmer et vous écouter à votre insu
Un malware qui se cache sur des sites compromis
Les failles touchent plusieurs versions du système d’exploitation, d’iOS 13 à 17.2.1. Exploitées par un pirate, les vulnérabilités permettent de compromettre un iPhone en attirant simplement l’internaute sur un site web piégé. Au cours de l’été dernier, les experts de Google ont identifié des indices qui montrent que Coruna a été utilisé dans le cadre d’une vaste campagne d’espionnage russe. Cette fois, le kit était capable d’exploiter à la chaîne plusieurs failles pour mener à la prise de contrôle totale d’un iPhone. Les cybercriminels russes avaient caché le script menant au déploiement de Coruna sur des sites ukrainiens. Lorsque des visiteurs se rendaient sur les sites via Safari, ils devenaient les nouvelles cibles de Coruna.
« Les attaques que nous avons observées permettent de prendre le contrôle complet de l’iPhone, en enchaînant une faille Safari et une élévation de privilèges locale », détaillent les chercheurs d’iVerify, qui ont enquêté avec Google sur Coruna.
Quelques semaines plus tard, les techniques d’exploitation Coruna sont réapparues dans une campagne à l’encontre des sites chinois de cryptomonnaies et de jeux d’argent. Très fréquentées par des utilisateurs qui manipulent de grosses sommes, les plateformes ont été infectées par le kit d’exploitation de la même manière que les sites ukrainiens. Là encore, il suffisait qu’un iPhone ouvre la page sur Safari pour se faire pirater.
À lire aussi : le malware Triangulation peut écouter vos conversations sur votre iPhone… depuis quatre ans
Un kit d’exploitation développé par un gouvernement
Avec l’appui des chercheurs d’iVerify, Google s’est mis à enquêter sur ce mystérieux kit d’exploitation de failles iOS. Les experts sont parvenus à mettre la main sur une copie de Coruna depuis un de ces sites chinois compromis. Les experts font alors une découverte étonnante. Le cœur du kit, à savoir les techniques d’exploitation iOS, est extrêmement sophistiqué. Par contre, le code de la partie malware est bien plus grossier et mal conçu. Il y a un décalage étonnant entre la sophistication de Coruna et la manière dont celui-ci est implémenté sur des sites piratés.
Selon les chercheurs, il est plausible que des cybercriminels lambda soient parvenus à mettre la main sur un outil d’attaque de très haut niveau, probablement conçu au départ pour des opérations de renseignement orchestrées par des gouvernements. Les investigations laissent penser que Coruna pourrait avoir été développé par les États‑Unis. iVerify indique que Coruna ressemble fortement à des outils attribués à des acteurs liés au gouvernement américain. On y retrouve en effet les mêmes tendances de développement et les mêmes briques logicielles. Les chercheurs pointent vers une création de la NSA (National Security Agency), l’agence renseignement américain rattaché au département de la Défense.
Le niveau de sophistication du kit indique que sa création a coûté des millions de dollars et a mobilisé une équipe d’experts de haut vol pendant une longue période. Le code paraît écrit par des anglophones, ce qui cadre avec la théorie d’un kit développé par le gouvernement américain.
« Coruna est l’un des exemples les plus frappants que nous ayons vus de capacités de type logiciel espion, issues de sociétés de surveillance commerciales, qui passent des États aux cybercriminels », souligne iVerify.
Les chercheurs ont remarqué que certains modules ou composants de Coruna sont les mêmes que ceux utilisés dans le cadre de l’opération Triangulation. Entre 2019 et 2022, un mystérieux groupe de hackers a profité d’une vulnérabilité dans iMessage pour placer Kaspersky, le célèbre éditeur russe d’antivirus, sous surveillance. Plusieurs salariés du siège moscovite ont été visés et, pendant des années, les attaquants ont pu siphonner en toute discrétion des données sensibles, notamment des photos et des enregistrements audio. La cyberattaque avait été attribuée aux services de renseignements américains par la Russie. Pour iVerify, Coruna pourrait être une variante du malware utilisé dans l’opération, mise en lumière en 2023. Des briques conçues pour Triangulation auraient été réassemblées dans un kit générique d’exploitation iOS, estime iVerify.
« D’après les recherches publiées, deux exploits présents dans Coruna, Photon et Gallium, ciblent les mêmes vulnérabilités que celles utilisées comme failles zero-day lors de l’Opération Triangulation », nous explique Kaspersky.
Comment Coruna est arrivé entre les mains de hackers
Personne ne sait comment ce malware ultra-sophistiqué a fini entre les mains de cybercriminels lambda. La théorie dominante de Google et d’iVerify est que le kit s’est échangé sur des marchés noirs. Sur ces plateformes, des pirates peuvent vendre et acheter des techniques d’exploitation de failles zero day et des outils gouvernementaux de seconde main. Le kit aurait pu se retrouver sur la toile à la suite d’une fuite ou d’un vol réalisé par un intermédiaire ou un sous-traitant. Comme l’explique Google, l’histoire de Coruna suggère l’existence « d’un marché actif pour les exploits zero-day d’occasion ».
Ce sont en effet des choses qui arrivent. On se souviendra d’ailleurs que Peter Williams, ancien dirigeant général de Trenchant, une entreprise cyber qui collaborait avec le gouvernement, a reconnu avoir volé et vendu huit outils de piratage de failles zero-day à une entreprise russe spécialisée dans la revente, Operation Zero. La société russe a ensuite revendu ces vulnérabilités à des groupes criminels.
Apple a progressivement corrigé toutes les failles exploitées par Coruna. Des mises à jour d’iOS, déployées entre 2023 et début 2024, ont colmaté toutes les brèches. « Le kit d’exploitation Coruna est inefficace contre la dernière version d’iOS ; les utilisateurs d’iPhone sont donc fortement invités à mettre à jour leur appareil », résume Google. Sur les iPhone privés de mises à jour, les chercheurs conseillent d’activer le mode Isolement d’Apple, qui est conçu pour bloquer les attaques très sophistiquées.
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp.
Source :
Google