Visiter la mauvaise page web peut suffire à faire tomber un iPhone sous iOS 18. Les équipes de Google et les firmes de cybersécurité iVerify et Lookout ont relevé une faille capable de toucher les smartphones tournant sous iOS 18.4 à 18.6.2. Si iOS 26 est sorti officiellement en septembre dernier, iOS 18 reste installé sur 20 % des iPhone récents selon les derniers chiffres d’Apple.
Cette attaque baptisée DarkSword est capable de hacker à distance les iPhone visitant un site vérolé. Des sites légitimes compromis servent de porte d’entrée, et l’infection se déclenche au chargement d’un contenu malveillant intégré à la page. DarkSword est conçu pour voler des données comme les mots de passe et les photos, mais aussi les journaux d'iMessage, de WhatsApp ou de Telegram. Le malware peut également récupérer l’historique de navigation, les données du Calendrier et des Notes, et même les données de l'application Santé d'Apple.
Contrairement à d’autres, l’outil n’installe pas un spyware classique et persistant. Il détourne plutôt des processus légitimes d’iOS pour voler des données et les exfiltrer en laissant un minimum de traces. La technique a été observée sur des sites infectés utilisés dans des campagnes attribuées à des acteurs russes. Il a par exemple été intégré à des éléments de sites web ukrainiens légitimes comme des sites d'information en ligne ou celui d'une agence gouvernementale afin de collecter les données des téléphones des visiteurs.
Les chercheurs soulignent un autre point inquiétant : DarkSword n’a pas seulement servi dans une campagne ciblée car son code a aussi été retrouvé quasiment en clair sur les serveurs compromis, avec des commentaires en anglais facilitant sa réutilisation. En pratique, cela abaisse fortement la barrière d’entrée pour d’autres groupes, qui n’auraient plus qu’à récupérer les différents modules pour les redéployer ailleurs.
Cette découverte intervient quelques semaines après les révélations autour de Coruna, un autre kit de piratage iOS. Selon TechCrunch, Coruna aurait été développé au moins en partie par Trenchant, une division de L3Harris qui vend ses outils au gouvernement américain et à ses alliés. Un ancien responsable de Trenchant, Peter Williams, a reconnu avoir vendu plusieurs outils de l’entreprise à la société russe Operation Zero, depuis sanctionnée par Washington. Le lien entre Coruna et DarkSword, qui ont partagé une partie de leur infrastructure, alimente la théorie qu’ils pourraient provenir du même marché gris.
Source :
