La guerre en Ukraine vient d’entrer dans sa cinquième année et, au-delà du front et des attaques par drones et missiles des grandes villes, la Russie mène également une autre guerre silencieuse dans le cyberespace.
La dernière cyberarme russe détectée cible les iPhone. Elle a été baptisée DarkSword par les chercheurs en cybersécurité de Google, d’iVerify et de Lookout. DarkSword cible précisément les iPhone restés sous iOS 18. Si la prochaine version qui approche est la 26.4, il y a quand même près d’un quart des iPhone actifs qui fonctionnent toujours avec cette ancienne version. De quoi pirater des centaines de millions de téléphones.
Lire l’article
Il faut dire que la réticence d’une partie des utilisateurs à installer iOS 26, critiqué pour sa nouvelle interface « liquid glass », jugée trop animée et moins lisible, contribue à maintenir cette surface d’attaque massive pour DarkSword.
Une attaque qui ne laisse pas de traces
Pour infecter un iPhone et le contrôler à distance, il suffit que l’utilisateur visite un site piégé. Or, les hackers russes ont réussi à implanter leur charge virale sur de nombreux sites d’information et des services publics ukrainiens. Une sorte de pêche au chalut visant à aspirer via une faille des données sensibles (mots de passe, photos, historique de navigation, messages WhatsApp/Telegram, éventuellement crypto‑wallets), puis à effacer toutes traces d’intrusion.
L’attaque ne persiste pas après un redémarrage du téléphone, mais profite des premières minutes suivant l’infection pour exfiltrer un maximum d’informations. DarkSword a été injecté dans les sites ukrainiens par le groupe de hackers UNC6353 qui est lié au renseignement russe. Ce ciblage quasi exclusif d’utilisateurs localisés en Ukraine et de sites ukrainiens montre que DarkSword y est employé comme une arme cyber, au service des besoins d’information et de pression de la Russie dans le cadre de sa guerre.
Chronologie des différentes utilisations de Coruna et des évolutions de DarkSword. UNC6353 est le nom d’un groupe de hackers russes proche du Kremlin. De son côté, UNC6748 est l’appellation d’un nouveau groupe dont l’origine n’est pas formellement attribuée. Elle visait des utilisateurs saoudiens via un faux site imitant Snapchat. © Google
Des espions russes aux clients privés
Un peu avant DarkSword, les hackers russes exploitaient Coruna, un autre kit iOS pour les versions plus anciennes également révélé par Google et d’autres chercheurs en cybersécurité. À l’origine, ce kit est soupçonné d’avoir été développé par Trenchant, une filiale de l’Américain L3Harris.
Le code avait probablement été conçu pour le gouvernement des États-Unis avant de se retrouver sur le marché du darknet. Et justement, le problème, c’est que, tout comme Coruna, le code DarkSword circule déjà sur les plateformes de vente de kits « clés en main » du Darknet. De fait, DarkSword ne se limite plus à l’Ukraine. Il a également été déployé contre des cibles en Arabie saoudite, en Turquie et en Malaisie.
Lire l’article
Visiblement, les hackers russes n’ont rien fait pour protéger ce type de « cyberarme » qui restait auparavant cantonnée à des opérations d’espionnage de haut niveau. Le code est donc désormais ouvert à n’importe quel acteur malveillant qui peut l’exploiter sur ses propres serveurs.
C’est plutôt inquiétant car cet outil développé pour un gouvernement peut maintenant être recyclé pour des campagnes de piratages d’internautes lambda. Apple a rapidement réagi en publiant des correctifs pour les vulnérabilités exploitées par Coruna et DarkSword, y compris des mises à jour d’urgence pour les appareils trop anciens pour iOS 26.
À ce stade, face à de tels outils, la mise à jour d’un iPhone ne relève plus du conseil de prudence, mais d’un réflexe indispensable. Cet événement montre surtout que des « armes numériques » de haut niveau sortent désormais de l’ombre des services secrets pour se démocratiser chez les cybercriminels. Inquiétant…