Vulnérabilité DarkSword est devenue l'une des failles de sécurité les plus graves récemment découvertes sur iPhone.Il s'agit d'une chaîne d'exploits pour iOS permettant de prendre le contrôle du téléphone mobile simplement en chargeant une page web manipulée, sans que l'utilisateur ne touche à rien ni ne voie d'avertissement à l'écran.
Ce kit d'attaque, analysé par des équipes de sécurité de Google, iVerify et LookoutCela touche principalement les iPhones utilisant encore iOS 18, plus précisément les versions comprises entre 18.4 et 18.7. Le risque n'est pas théorique : des campagnes sont en cours et il a été lié à des groupes de surveillance commerciale et à des acteurs bénéficiant potentiellement d'un soutien étatique. Elle cible à la fois les utilisateurs individuels et les personnes ayant des profils de grande valeur., y compris ceux qui gèrent des cryptomonnaies depuis leur téléphone portable.
Qu'est-ce que DarkSword et comment exploite-t-il les failles d'iOS ?
DarkSword est un Exploitation sans clic ciblant iOSAutrement dit, il s'agit d'un ensemble de vulnérabilités permettant à un attaquant de compromettre un appareil sans que l'utilisateur ait à cliquer sur des liens, télécharger des fichiers ou accorder explicitement des autorisations. Le simple fait de visiter un site web compromis dans Safari ou via le navigateur intégré à une autre application suffit à déclencher la chaîne d'attaque de manière transparente.
Selon le rapport technique publié par l'équipe de renseignement sur les menaces de Google (GTIG) en collaboration avec iVerify et Lookout, La chaîne DarkSword contient au moins six failles de sécurité distinctes., comme le montrent les analyses sur Bugs critiques dans macOS et iOS…jusqu’à exécuter du code avec des privilèges noyau. Ce niveau d’accès est particulièrement critique car il confère à l’attaquant un contrôle très étendu sur le système, même supérieur à celui de nombreuses applications de sécurité.
Les chercheurs ont expliqué que la faille était conçue pour les appareils dotés de iOS 18 dans des versions telles que 18.4, 18.6.2 ou 18.7une gamme qui, à l'époque, concernait des centaines de millions de téléphones. Bien qu'Apple ait corrigé les vulnérabilités dans des mises à jour successives, une part importante du marché de l'iPhone est restée bloquée sur iOS 18 pendant des mois, offrant ainsi une opportunité considérable aux pirates informatiques. En particulier, de nombreux correctifs provenaient de mises à jour liées à iOS 18.6 qui ont permis d'atténuer plusieurs des vulnérabilités exploitées.
L'aspect le plus troublant de l'enquête est que DarkSword ne se cache pas derrière une ingénierie sociale sophistiquée.L'utilisateur peut être en train de lire un article d'actualité sur un site web légitime ou de consulter un portail officiel, et l'attaque peut être exécutée en arrière-plan si ce site a été compromis.
Campagnes et objectifs détectés : de l'Ukraine à l'écosystème crypto
Les premiers indices concrets de DarkSword sont apparus sur des sites web légitimes en Ukraine, où les chercheurs de Google ont constaté son existence. du code malveillant intégré à des dizaines de sitesy compris les médias et les sites web des organismes publics. De là, la campagne s'est étendue à d'autres zones géopolitiquement sensibles.
GTIG et iVerify ont attribué l'utilisation de ce kit à plusieurs acteurs différentsy compris des fournisseurs de services de surveillance commerciaux et des groupes soupçonnés d'être liés aux services de renseignement. Parmi les pays où des opérations ont été observées figurent Arabie Saoudite, Turquie, Malaisie et UkraineCela montre clairement qu'il ne s'agissait pas d'une expérience isolée, mais d'une campagne menée dans le temps.
L'un des éléments qui a le plus préoccupé le secteur financier numérique est que L'écosystème des cryptomonnaies est devenu une cible explicite.Binance, l'une des plus grandes plateformes d'échange au monde, a émis une alerte spécifique à destination des utilisateurs d'iPhone et d'iPad après la révélation des détails concernant DarkSword, leur rappelant que le problème ne réside pas dans un portefeuille ou une plateforme spécifique, mais dans la couche du système d'exploitation elle-même.
Les analyses publiées mentionnent la famille de logiciels malveillants associée connue sous le nom de LAME FANTÔMEqui exploite les vulnérabilités de DarkSword pour déployer des implants capables de collecter des données pertinentes au vol de cryptomonnaies. Parmi celles-ci, les chercheurs citent les trousseaux système, les fichiers d'iCloud Drive, l'historique de localisation, les mots de passe des réseaux Wi-Fi et, notamment, Informations relatives aux portefeuilles de cryptomonnaies et aux comptes de services financiers.
Quelles données peut-il voler et pourquoi est-il si difficile à détecter ?
Une fois la chaîne d'exploitation exécutée avec succès, l'attaquant obtient l'accès à une quantité massive d'informations. Selon les rapports de Lookout et de Google, DarkSword est sur le point de… extraire pratiquement tout ce qui rend un iPhone précieux pour l'utilisateur: mots de passe, photos, contacts, historiques iMessage, WhatsApp et Telegram, notes, calendriers, journaux de l'application Santé, historiques de navigation et données de compte stockés dans le trousseau.
Sur le plan économique, cet outil se concentre sur Identifiants et données de portefeuilles de cryptomonnaies liés aux services d'échangeCe point explique en grande partie l'intérêt des groupes criminels à vocation purement économique, qui réutilisent des technologies gouvernementales pour mener des campagnes massives de vol de fonds, souvent combinées à des sites web frauduleux de cryptomonnaie.
Au lieu d'installer une application espionne visible ou un logiciel espion persistant traditionnel, DarkSword Elle applique des techniques « sans fichier » ou sans système de fichiers.Ces caractéristiques sont plus typiques des logiciels malveillants sophistiqués sur les ordinateurs. Cela signifie qu'ils détournent les processus système légitimes et opèrent en mémoire, agissant durant les premières minutes suivant l'infection pour collecter et exfiltrer des données sans laisser de traces évidentes.
En adoptant cette approche, L'infection peut disparaître après le redémarrage de l'iPhone.Bien que les données aient déjà été copiées, l'incident passe inaperçu pour l'utilisateur et de nombreux outils de sécurité, ne laissant qu'une trace minimale dans les journaux internes, que le logiciel malveillant lui-même tente parfois explicitement de supprimer pour entraver l'analyse forensique.
Avertissements officiels et réponse d'Apple
Suite à la publication du rapport conjoint de Google, iVerify et Lookout, les fabricants et les plateformes ont commencé à émettre des alertes coordonnées aux utilisateurs iOSBinance a émis une alerte concernant une « faille critique » et a exhorté les utilisateurs à effectuer immédiatement la mise à jour, soulignant que tout appareil ayant subi une mise à jour vers iOS 18.4 à 18.7 devait être considéré comme à risque s'il n'avait pas été maintenu à jour.
Quelques jours plus tard, Apple a publié un Note d'assistance reconnaissant les attaques basées sur du contenu Web malveillant ciblant les versions obsolètes du système. Dans ce communiqué, l'entreprise a souligné que la mise à jour des logiciels est la mesure de protection la plus importante pour l'utilisateur moyen et a rappelé que les versions actuelles d'iOS intègrent déjà les correctifs nécessaires. Plus d'informations sur les nouvelles fonctionnalités et les correctifs de iOS 26.3 Développez ces détails.
D'après les informations fournies par Google, Toutes les vulnérabilités associées à DarkSword ont été corrigées avec iOS 26.3.bien que plusieurs d'entre elles aient été partiellement ou totalement corrigées lors de mises à jour précédentes. Apple mentionne également iOS 26.3.1 une mise à jour récente avec des améliorations de sécurité supplémentaires, disponible pour les modèles compatibles.
Outre les patchs, l'entreprise souligne que les Mode confinementConçue pour protéger les utilisateurs à haut risque, cette fonctionnalité contribue à atténuer ces attaques en renforçant la manière dont le système traite le contenu reçu via Internet. Apple insiste néanmoins sur le fait que la première ligne de défense consiste à mettre à jour le système d'exploitation vers sa dernière version dès que possible.
Combien d'iPhones restent vulnérables et qui est le plus à risque ?
L'un des aspects les plus frappants de l'affaire DarkSword est l'ampleur de la base installée touchée. Les estimations d'iVerify, de Lookout et les données d'utilisation citées par les médias spécialisés suggèrent que : Au plus fort de la campagne, entre 220 et 270 millions d'iPhones fonctionnaient encore avec des versions vulnérables d'iOS 18.En pourcentage, cela représente entre 14 % et environ un quart de tous les iPhones actifs, selon diverses sources.
Cet écart s'explique en partie par le la réticence de nombreux utilisateurs à passer à iOS 26que ce soit par habitude, par peur des changements d'interface, ou parce que les problèmes de performance Ce problème est perceptible sur les modèles plus anciens. En Europe et en Espagne, où le taux d'adoption des mises à jour est généralement supérieur à la moyenne mondiale, mais avec d'importantes disparités selon l'âge et le type d'utilisateur, des millions d'appareils restent insuffisamment protégés.
Les profils les plus sensibles sont ceux qui Ils traitent les informations critiques par téléphone.: journalistes, militants, fonctionnaires, gestionnaires, professionnels qui voyagent fréquemment dans des pays où le niveau de surveillance est élevé et, bien sûr, les personnes qui gèrent d'importantes quantités de cryptomonnaies ou d'actifs financiers via des applications mobiles.
Néanmoins, les recherches suggèrent que L'ampleur des campagnes fait que nous ne sommes plus confrontés à des attaques ciblées de tireurs d'élite.mais plutôt dans des scénarios beaucoup plus larges où des attaques ciblent de grands groupes d'utilisateurs en exploitant des failles de sécurité très puissantes mais relativement faciles à réutiliser une fois qu'elles ont été divulguées.
Recommandations pratiques pour les utilisateurs d'iPhone en Espagne et en Europe
Le message principal des équipes de sécurité et du fabricant lui-même est direct : Si votre iPhone fonctionne sous iOS 18 et n'a pas encore été mis à jour vers la branche 26La chose prudente à faire est de revoir la version actuelle et mise à jour vers iOS 26 Installez dès que possible les correctifs disponibles. La procédure se fait via Paramètres > Général > Mise à jour logicielle et ne prend généralement que quelques minutes.
Pour les utilisateurs d'appareils non compatibles avec iOS 26, Apple a publié correctifs de sécurité spécifiques pour les versions précédentesafin d'atténuer au moins les vulnérabilités les plus graves associées à DarkSword. Elles n'offrent pas le même niveau de protection que la dernière version, mais elles réduisent considérablement la surface d'attaque. Voir le correctifs de sécurité spécifiques publié par Apple.
Dans les environnements européens où l'utilisation des téléphones mobiles pour les services bancaires en ligne et les paiements numériques est répandue, il est également conseillé d'appliquer des mesures complémentaires : Activez le mode de verrouillage si vous manipulez des informations particulièrement sensibles.Limitez le nombre d'applications ayant accès aux données sensibles, évitez de consulter des sites web inconnus à partir de liens reçus par messagerie et, si vous utilisez des portefeuilles de cryptomonnaies, envisagez d'utiliser des portefeuilles matériels déconnectés du téléphone pour stocker des sommes importantes.
Des outils spécialisés comme iVerify ou solutions de sécurité mobile pour les entreprises Ces outils peuvent aider à détecter les signes de compromission, même si, dans le cas précis de Darksword, la détection est complexe en raison de sa nature éphémère et de ses techniques d'effacement des traces. Pour les utilisateurs individuels, il est judicieux de se tenir informé des avis officiels d'Apple et des agences européennes de cybersécurité.
Cependant, l'affaire DarkSword offre une leçon claire pour l'écosystème iPhone : Les armes numériques d'État ne sont plus l'apanage de quelques services de renseignement.Au lieu de cela, elles peuvent dégénérer en campagnes de grande envergure touchant des millions de personnes, souvent à leur insu. La différence entre être une cible facile et une cible beaucoup plus complexe se résume souvent à des gestes aussi peu glamour que de maintenir son système d'exploitation à jour, de renforcer ses paramètres de sécurité et de se méfier de l'idée reçue selon laquelle « ce genre de choses n'arrive pas sur les iPhones ».
