Les jours passent et ne se ressemblent pas en sécurité informatique. Alors qu’Apple vient d’obtenir un beau succès en faisant de l’iPhone le premier (et le seul pour le moment) terminal grand public certifié pour les documents « NATO Restricted », Google et iVerify révèlent qu’un kit de piratage provenant du gouvernement US dédié aux précédentes versions d’iOS est dans la nature.
Apple décroche la certification OTAN pour iOS, une première pour un smartphone grand public
Si bien entendu aucune confirmation officielle n’a été donnée par les services américains, et qu’il serait vain d’en attendre une, le Google Threat Intelligence Group a tout de même repéré de grosses similitudes entre le contenu de ce kit et d’autres outils attribués à la NSA. Le code est très proche, et certains composants appartenant à l’« Opération Triangulation » menée en 2023 par l’agence américaine se retrouvent dans ce kit.
Si jusque là son usage était cantonné à des « sociétés de surveillance », les choses ont commencé à déraper à l’été 2025 : le kit a ainsi été repéré sur des sites aux données corrompues par un groupe de hackers russes liés à la guerre électronique contre l’Ukraine (le groupe UNC6353). Puis fin 2025, ce kit est une nouvelle fois découvert, cette fois non plus aux mains d’une agence ou d’un groupe agissant pour un gouvernement, mais utilisé par des hackers chinois dans un but purement lucratif, caché dans de fausses plateformes d’échange de cryptomonnaies.
Qui est potentiellement visé ?
Le kit touche une frange assez large des systèmes d’Apple, mais est exclu des derniers. Il n’est fonctionnel que d’iOS 13.0 à iOS 17.2.1, ce qui en fait un outil inutile contre les dernières versions du système, mais dont le potentiel de nuisance reste conséquent.
Il s’attaque tout particulièrement à l’app Notes, la fouillant à la recherche de morceaux de phrases correspondant aux codes de récupération utilisés dans les portefeuilles numériques. Complétant le tableau, il s’attaquera directement aux apps MetaMask et Trust Wallet si elles sont disponibles sur le smartphone ciblé, et exfiltrera les données obtenues grâce à un algorithme de génération de domaine, permettant de générer des dizaines ou centaines de noms de domaine où l’info sera envoyée.
Comment s’en protéger ?
Deux méthodes sont efficaces pour se protéger de cette menace : la première, bien entendu, mettre à jour votre iPhone. Si celui-ci est sous iOS 17, la version 17.7.2 actuellement proposée par Apple a comblé la faille. Bien entendu, iOS 18 et iOS 26 sont aussi immunisés contre celle-ci.
L’autre possibilité, si votre appareil n’est pas compatible avec une version corrigée, reste le Mode Isolement. Ce mode disponible depuis iOS 16 est en effet surveillé par le kit Coruna, qui ne s’activera pas si l’iPhone de l’utilisateur est protégé par ce mode afin d’éviter d’être détecté.
Reste une question, et un enseignement : déjà, comment ce kit appartenant à une agence de surveillance américaine a pu se retrouver dans la nature, et être utilisé par d’autres groupes ? Si bien entendu nous n’aurons jamais le cheminement précis jusqu’aux hackers, cette histoire rappelle que rien n’est scellé hermétiquement. De quoi donner encore plus de crédit aux positions fermes d’Apple sur les backdoors qu’aimeraient lui imposer nombre de gouvernements : si une telle possibilité était déployée sur iOS, iPadOS ou macOS, la question ne serait pas « sera-t-elle utilisée par des groupes mafieux », mais plutôt « quand sera-t-elle exploitée par ces groupes ».
