Après avoir récemment divulgué la chaîne d’exploitation Coruna ciblant les anciennes versions d’iOS, Google a maintenant annoncé une attaque similaire, baptisée DarkSword. Voici les détails.
Des raisons supplémentaires de garder vos appareils à jour
Il y a quelques semaines, Google et iVerify ont publié deux rapports détaillant la chaîne Coruna, qui exploite plusieurs vulnérabilités d’iOS pour compromettre les iPhones fonctionnant avec des systèmes obsolètes.
Suite à ces rapports, Apple a publié des mises à jour pour iOS 16.7.15, iOS 15.8.7, iPadOS 16.7.15 et iPadOS 15.8.7, corrigeant les vulnérabilités de kernel et WebKit utilisées par Coruna.
Curieusement, Apple a également mis en ligne un nouveau document d’assistance intitulé Mettre à jour iOS pour protéger votre iPhone contre les attaques web, dans lequel elle précise que « des chercheurs en sécurité ont récemment identifié des attaques basées sur le web ciblant les versions obsolètes d’iOS via du contenu web malveillant ». Ce document indique :
« Si vous avez maintenu votre logiciel iPhone à jour, vous êtes déjà protégé. (…) Si votre iPhone fonctionne avec une ancienne version d’iOS, mettez à jour pour protéger vos données :
- Les appareils avec les versions mises à jour les plus récentes d’iOS 15 à iOS 26 sont déjà protégés. Si vous n’avez pas récemment mis à jour votre logiciel, procédez à la mise à jour de votre iOS.
- Nous avons publié une mise à jour logicielle pour iOS 15 et iOS 16 le 11 mars 2026, pour étendre la protection aux appareils plus anciens qui ne peuvent pas passer à la version la plus récente d’iOS.
- Les appareils fonctionnant sous iOS 13 ou iOS 14 doivent se mettre à jour vers iOS 15 pour recevoir ces protections et recevront un avis supplémentaire pour installer une mise à jour de sécurité critique dans les jours suivants.
- Apple Safe Browsing dans Safari est activé par défaut et bloque les domaines d’URL malveillants identifiés dans ces attaques.
Note : Les utilisateurs qui ne peuvent pas mettre à jour leur appareil doivent envisager d’activer le Mode de verrouillage, si disponible, pour se protéger des contenus web malveillants et d’autres menaces.
Il semble que le nouveau document de sécurité fasse référence non seulement à Coruna, mais aussi à une autre chaîne d’exploitation, que le Google Threat Intelligence Group (GTIG) appelle DarkSword.
Selon le GTIG, « plusieurs fournisseurs de surveillance commerciale et des acteurs supposés sponsorisés par des États exploitent DarkSword dans différentes campagnes ». Ils ajoutent que « ces acteurs de la menace ont déployé la chaîne d’exploitation contre des cibles en Arabie Saoudite, en Turquie, en Malaisie et en Ukraine ».
En résumé, DarkSword fonctionnellement est similaire à Coruna, en chaînant plusieurs vulnérabilités pour atteindre un compromis complet au niveau du noyau.
Tout comme Coruna, DarkSword est livré via des sites web compromis ou des leurres, avant de chaîner plusieurs étapes avant de déployer des charges utiles telles que GHOSTBLADE, GHOSTKNIFE et GHOSTSABER.
Selon le GTIG, les CVE associées à DarkSword incluent :
- CVE-2025-31277 (corrigé dans iOS 18.6)
- CVE-2026-20700 (corrigé dans iOS 26.3)
- CVE-2025-43529 (corrigé dans iOS 18.7.3 et iOS 26.2)
- CVE-2025-14174 (corrigé dans iOS 18.7.3 et iOS 26.2)
- CVE-2025-43510 (corrigé dans iOS 18.7.2 et iOS 26.1)
- CVE-2025-43520 (corrigé dans iOS 18.7.2 et iOS 26.1)
Pour plonger dans les détails techniques, consultez le rapport du GTIG, publié en coordination avec Lookout et iVerify, qui ont aussi partagé leurs propres découvertes.
Assurez-vous que vos appareils fonctionnent avec la dernière version d’iOS.
