iOS

L’iPhone n’est plus invincible : le cas de DarkSword et de Coruna

L’apparition de DarkSword et de Coruna, deux nouveaux programmes malveillants ciblant iOS, montre clairement comment les outils de renseignement gouvernementaux sont détournés pour servir d’armes aux cybercriminels. Nous vous expliquons comment ces attaques fonctionnent, pourquoi elles sont si dangereuses et ce que vous pouvez faire pour éviter d’être infecté.

Alanna Titterington
29 Avr 2026

DarkSword et Coruna sont deux nouveaux outils permettant de mener des attaques invisibles sur les appareils iOS. Ces attaques ne requièrent aucune intervention de l’utilisateur et sont déjà largement utilisées par des cybercriminels. Avant l’apparition de ces menaces, la plupart des utilisateurs d’iPhone n’avaient pas à s’inquiéter pour la sécurité de leurs données. En réalité, la protection ne préoccupait vraiment qu’un groupe restreint (politiques, militants, diplomates, hauts dirigeants d’entreprise et autres personnes traitant de données extrêmement confidentielles) susceptible d’être pris pour cible par des services de renseignement étrangers. Nous avons déjà abordé le sujet des logiciels espions avancés utilisés contre ce type de personnes, en soulignant à quel point ces outils étaient difficiles à se procurer.

Cependant, DarkSword et Coruna, découverts par des chercheurs au début de cette année, changent complètement la donne. Ce programme malveillant est utilisé pour infecter en masse les utilisateurs ordinaires. Dans cet article, nous examinons les raisons de cette évolution, les dangers que présentent ces outils ainsi que les moyens de vous protéger.

Ce que l’on sait sur DarkSword et comment ce programme peut cibler votre iPhone

À la mi-mars 2026, trois équipes de recherche distinctes ont coordonné la publication de leurs conclusions concernant une nouvelle souche de logiciel espion baptisée DarkSword. Cet outil est capable de pirater discrètement des appareils fonctionnant sous iOS 18 sans que l’utilisateur se rende compte de quoi que ce soit.

Tout d’abord, clarifions un point : iOS 18 n’est pas aussi ancien que son nom pourrait le laisser croire. Même si la dernière version est iOS 26, Apple a récemment revu son système de numérotation des versions, ce qui a déconcerté tout le monde. Ils ont décidé de sauter huit versions, passant directement de la version 18 à la version 26, afin que le numéro du système d’exploitation corresponde à l’année en cours. Malgré cette progression, Apple estime qu’environ un quart de tous les appareils actifs fonctionnent toujours sous iOS 18 ou une version antérieure.

Maintenant que nous avons clarifié ce point, revenons à DarkSword. Des études montrent que ce programme malveillant infecte les victimes lorsqu’elles consultent des sites tout à fait légitimes dans lesquels un code malveillant a été injecté. Le logiciel espion s’installe tout seul, sans aucune intervention de l’utilisateur : il suffit de visiter une page piratée. C’est ce qu’on appelle une technique d’infection sans clic. Selon les chercheurs, plusieurs milliers d’appareils auraient déjà été touchés de cette manière.

Pour compromettre un appareil, DarkSword utilise une chaîne d’exploits à six vulnérabilités afin de contourner la sandbox, d’élever ses privilèges et d’exécuter du code. Une fois infiltré, le programme malveillant récupère des données sur l’appareil infecté, notamment :

Mots de passe
Photos
Conversations et données provenant d’iMessage, de WhatsApp et de Telegram
Historique des navigateurs
Informations provenant des applications Calendrier, Notes et Santé d’Apple

En plus de tout cela, DarkSword permet aux pirates de récupérer les données des portefeuilles de cryptomonnaies, ce qui en fait un programme malveillant à double usage, servant à la fois d’outil d’espionnage et de moyen de siphonner vos actifs numériques.

La seule bonne nouvelle, c’est que ce logiciel espion ne survit pas au redémarrage. DarkSword est un programme malveillant sans fichier, ce qui signifie qu’il réside dans la mémoire vive (RAM) de l’appareil et ne s’intègre jamais réellement au système de fichiers.

Coruna : comment les anciennes versions d’iOS sont prises pour cible

À peine deux semaines avant que les conclusions concernant DarkSword soient rendues publiques, des chercheurs ont signalé une autre menace pour iOS, baptisée Coruna. Ce programme malveillant est capable de compromettre les appareils équipés de versions antérieures du système d’exploitation, plus précisément iOS 13 à 17.2.1. Coruna utilise exactement le même mode opératoire que DarkSword : les victimes consultent un site authentique dans lequel a été injecté un code malveillant, qui installe ensuite le programme malveillant sur l’appareil. Le processus est entièrement transparent et ne nécessite aucune intervention de l’utilisateur.

Une analyse approfondie du code de Coruna a révélé qu’il exploitait au total 23 vulnérabilités iOS différentes, dont plusieurs se trouvent dans le WebKit d’Apple. Il convient de rappeler que, d’une manière générale (en dehors de l’UE), tous les navigateurs iOS sont tenus d’utiliser le moteur WebKit. Cela signifie que ces failles de sécurité ne concernent pas uniquement les utilisateurs de Safari : elles constituent également une menace pour toute personne utilisant un navigateur tiers sur son iPhone.

La dernière version de Coruna, tout comme DarkSword, comporte des modifications destinées à piller les portefeuilles de cryptomonnaies. Elle collecte également des photos et, dans certains cas, des données d’emails. D’après nos informations, le vol de cryptomonnaies semble être la principale motivation derrière le déploiement à grande échelle de Coruna.

Qui a créé Coruna et DarkSword, et comment ces programmes ont-ils fini par être diffusés ?

L’analyse du code de ces deux outils suggère que Coruna et DarkSword ont probablement été développés par des développeurs différents. Cependant, dans les deux cas, il s’agit de logiciels initialement développés par des entreprises ayant des liens avec le gouvernement, probablement aux États-Unis. La qualité élevée du code le suggère : ce ne sont pas de simples assemblages hétéroclites, mais des exploits développés de manière cohérente. À un moment donné, ces outils se sont retrouvés entre les mains de groupes de cybercriminels.

Les experts de l’équipe GReAT de Kaspersky ont analysé l’ensemble des modules de Coruna et ont confirmé que ce kit d’exploitation est en réalité une version mise à jour de l’infrastructure utilisée dans le cadre de l’opération Triangulation. Cette attaque antérieure visait des employés de Kaspersky, un sujet que nous avons traité en détail sur ce blog.

Une théorie suggère qu’un employé de l’entreprise qui a développé Coruna l’aurait vendu à des pirates informatiques. Depuis lors, le programme malveillant a été utilisé pour vider les portefeuilles de cryptomonnaies d’utilisateurs en Chine. Les experts estiment qu’au moins 42 000 appareils ont été infectés rien que dans ce pays.

Pour ce qui est de DarkSword, des cybercriminels s’en sont déjà servis pour attaquer des utilisateurs en Arabie saoudite, en Turquie et en Malaisie. Le problème est aggravé par le fait que les pirates qui ont initialement effectué le déploiement de DarkSword ont laissé le code source intégral sur les sites Internet infectés, ce qui signifie qu’il pourrait facilement être récupéré par d’autres groupes criminels.

Le code comprend également des commentaires détaillés en anglais qui expliquent précisément le rôle de chaque module, ce qui corrobore la théorie selon laquelle il trouverait son origine en Occident. Ces instructions détaillées permettent à d’autres pirates informatiques d’adapter facilement l’outil à leurs propres besoins.

Comment se protéger contre Coruna et DarkSword

Un programme malveillant dangereux, capable d’infecter en masse des iPhone sans aucune intervention de la part de l’utilisateur, est désormais accessible à un nombre pratiquement illimité de cybercriminels. Pour être infecté par Coruna ou DarkSword, il suffit de se rendre sur le mauvais site au mauvais moment. C’est donc l’un de ces cas où chaque utilisateur doit prendre au sérieux la sécurité iOS, et pas seulement ceux qui font partie des groupes à haut risque.

La meilleure chose à faire pour vous protéger contre Coruna et DarkSword est de mettre à jour vos appareils vers la dernière version d’iOS ou d’iPadOS 26 dès que possible. Si vous ne parvenez pas à installer la dernière version du logiciel (par exemple, si votre appareil est trop ancien et ne prend pas en charge iOS 26), vous devriez tout de même installer la dernière version disponible. Privilégiez les versions 15.8.7, 16.7.15 ou 18.7.7. Fait rare, Apple a publié des correctifs pour un large éventail d’anciens systèmes d’exploitation.

Pour protéger vos appareils Apple contre des programmes malveillants de ce type à l’avenir, nous vous recommandons de suivre les conseils suivants :

Installez sans tarder les mises à jour sur tous vos appareils Apple. L’entreprise publie régulièrement des mises à jour du système d’exploitation qui corrigent les failles de sécurité connues. Ne les ignorez pas.
Activez les améliorations de la sécurité en arrière-plan. Cette fonctionnalité permet à votre appareil de recevoir les correctifs de sécurité essentiels indépendamment des mises à jour complètes d’iOS, ce qui réduit la période pendant laquelle les pirates informatiques peuvent exploiter les failles de sécurité. Pour l’activer, accédez à Réglages → Confidentialité et sécurité → Améliorations de la sécurité en arrière-plan et activez le commutateur Installation automatique.
Pensez à utiliser le mode Isolement. Il s’agit d’un paramètre de sécurité avancé qui limite certaines fonctionnalités de l’appareil, mais qui, en même temps, bloque les attaques ou les complique considérablement. Pour l’activer, accédez à Réglages → Confidentialité et sécurité → Mode Isolement → Activer le mode Isolement.
Redémarrez votre appareil une fois par jour (ou plus). Cette mesure permet de neutraliser immédiatement les programmes malveillants sans fichier, car ces menaces ne sont pas intégrées au système et disparaissent après un redémarrage.
Utilisez un stockage chiffré pour les données confidentielles. Conservez vos clés de portefeuilles de cryptomonnaies, les photos de vos pièces d’identité et vos données confidentielles dans un coffre-fort numérique sécurisé. Kaspersky Password Manager est l’outil idéal pour cela : il gère vos mots de passe, vos jetons d’authentification à deux facteurs et vos clés d’accès sur tous vos appareils, tout en synchronisant et en chiffrant vos notes, vos photos et vos documents.

L’idée selon laquelle les appareils Apple sont à toute épreuve est un mythe. Ils sont exposés aux attaques sans clic, aux chevaux de Troie et aux techniques d’infection de type ClickFix. Nous avons même constaté à plusieurs reprises que des applications malveillantes s’étaient glissées dans l’App Store. Pour en savoir plus, lisez les articles suivants :

Predator et iPhone : l’art de la surveillance invisible

AirBorne : attaques contre les appareils Apple via des vulnérabilités dans AirPlay

Vos écouteurs Bluetooth vous espionnent-ils ?

Le cheval de Troie SparkCat envahit l’App Store et Google Play et vole les données des photos

Banshee : un malware ciblant les utilisateurs de macOS

Comment les personnes malvoyantes peuvent se protéger contre les cybermenaces

Nous examinons comment l’application Be My Eyes aide les personnes aveugles et malvoyantes, nous vérifions si elle permet réellement de détecter les cybermenaces et nous partageons des conseils de sécurité essentiels destinés à la communauté des personnes malvoyantes.

Conseils

Déconnecté : comment désactiver l’IA sur votre ordinateur et votre smartphone

Vous en avez assez des hallucinations dans les résumés de l’IA et vous ne savez pas pourquoi ni comment Copilot est apparu soudainement sur votre ordinateur ? Voici un guide pour désactiver les fonctions intrusives de l’IA dans les services les plus courants.

Protection des enfants

L’iPhone n’est plus invincible : le cas de DarkSword et de Coruna

Ce que l’on sait sur DarkSword et comment ce programme peut cibler votre iPhone

Coruna : comment les anciennes versions d’iOS sont prises pour cible

Qui a créé Coruna et DarkSword, et comment ces programmes ont-ils fini par être diffusés ?

Comment se protéger contre Coruna et DarkSword

Le cheval de Troie SparkCat envahit l’App Store et Google Play et vole les données des photos

Configuration de l’app Raccourcis (Shortcuts) et de Siri dans Kaspersky pour iOS

Comment les personnes malvoyantes peuvent se protéger contre les cybermenaces

Conseils

Déconnecté : comment désactiver l’IA sur votre ordinateur et votre smartphone

Un cheval de Troie Android se fait passer pour des services gouvernementaux et des applications Starlink

Attaques « navigateur dans le navigateur » : de la théorie à la réalité

Vulnérabilité ExifTool : comment une image peut infecter les systèmes macOS

Solutions pour les particuliers

TPE

PME

Grande entreprise

Securelist

Eugene Personal Blog

Encyclopédie de Kaspersky