En 2017, le ransomware WannaCry a fait le tour du monde. Celui-ci est basé sur EternalBlue, un exploit (un code d’exploitation de failles de sécurité) développé par la NSA, l’agence de renseignement américaine, qui a échappé à leur contrôle. Et, désormais, l’histoire se répète.

Google et iVerify viennent d’annoncer la découverte de la première attaque de masse connue contre iOS. Baptisé Coruna, il s’agit d’un kit d’exploits, contenant cinq chaînes d’exploits complètes, c’est-à-dire exploitant une série de failles afin de prendre la main sur l’iPhone, et l’outil peut exploiter un total de 23 failles de sécurité. Il vise tous les iPhone fonctionnant sous iOS 13 à iOS 17.2.1.

Le nombre élevé d’exploits permet à l’outil d’utiliser plusieurs méthodes pour infecter un iPhone. Lorsque l’utilisateur visite un site spécialement conçu, un code JavaScript vérifie les informations sur le mobile, comme le modèle et la version d’iOS, afin de déterminer la meilleure méthode pour mener l’attaque.

L’histoire de l’outil Coruna. © Google

La Chine, dernier maillon de la chaîne

La version découverte par Google était utilisée par des criminels chinois, qui opéraient tout un réseau de faux sites sur le sujet de la finance. Ce groupe est identifié sous le nom UNC6691. Lorsqu’un iPhone vulnérable visite l’un de ces sites, le code JavaScript lance une attaque qui l’infecte avec un malware qui tente de voler les informations financières.

Il cherche des codes QR dans les images enregistrées, ou des informations comme des séquences de 12 à 24 mots qui permettent de récupérer un compte Bitcoin (BIP39) ou des expressions comme « phrase de secours » ou « compte bancaire » dans les notes de l’appareil qui sont ensuite transmises à un serveur de commande et de contrôle (C2).

Le malware peut aussi récupérer des modules sur ce serveur pour ajouter de nouvelles fonctionnalités, principalement destinées à voler des informations ou des portefeuilles de cryptomonnaies.

Ce message affiché sur les faux sites encourage les visiteurs à utiliser un iPhone ou un iPad, seuls appareils que Coruna peut infecter. © Google

Un passage par la Russie

Toutefois, l’histoire de cet outil est plus complexe, car Coruna n’a pas été développé par ces criminels chinois. Ce réseau a été détecté en fin d’année dernière, mais ce n’est que le dernier maillon de la chaîne. Google a détecté ce même code à l’été 2025 sur des sites ukrainiens compromis. Cette fois, il ne visait pas le secteur financier, mais tout un éventail de sites divers. Il était néanmoins très sélectif, ne visant que certains iPhone d’une localisation spécifique. Cette attaque est attribuée à UNC6353, sans surprise un groupe d’espionnage suspecté d’être russe.

Une origine américaine

Là encore, ce n’est pas le premier maillon de la chaîne. La première découverte du code JavaScript de Coruna remonte à février 2025. Google se contente d’identifier la source comme « un client d’une entreprise de surveillance ». Néanmoins, le type de code, le niveau de sophistication et l’utilisation de l’anglais dans le code semblent suggérer que cet outil provient des États-Unis.

« Il est extrêmement sophistiqué, son développement a coûté des millions de dollars et il porte les marques d’autres modules qui ont été publiquement attribués au gouvernement américain », a déclaré Rocky Cole, cofondateur d’iVerify. En clair, il s’agirait d’un outil développé par la CIA, et dont l’agence aurait perdu le contrôle. La manière dont Coruna s’est retrouvé ainsi dans la nature n’est pas évidente, cependant cela « suggère l’existence d’un marché actif pour les exploits zero-day “d’occasion” », indique Google.

La bonne nouvelle est que toutes les failles exploitées par Coruna ont déjà été corrigées par Apple. Pour protéger son iPhone contre cette attaque, il suffit donc de s’assurer qu’il est à jour. Si ce n’est pas possible, Google conseille d’activer le mode Isolement sur son mobile (Lockdown Mode).