Des arsenaux numériques conçus pour des États se retrouvent entre les mains de groupes criminels. Et si votre iPhone n'est pas à jour, vous êtes dans leur ligne de mire.
Google et iVerify ont publié des analyses sur un outil d'attaque baptisé Coruna. Pour iVerify, c'est une première : un groupe criminel utiliserait des outils de piratage construits par un État pour cibler en masse des iPhones.
Coruna : comment 23 failles enchaînées compromettent votre iPhone
Coruna est un outil d'exploitation qui articule cinq filières d'attaque complètes sur iOS, en mobilisant 23 failles de sécurité. Il cible les appareils tournant sous iOS 13 jusqu'à iOS 17.2.1. Pour les appareils à jour, aucun risque documenté à ce stade. L'attaque débute à la visite d'un site web compromis. Un script JavaScript caché analyse alors le modèle du téléphone, la version du système et plusieurs paramètres de sécurité. Si le profil correspond, l'outil contourne les protections natives d'iOS, élève ses privilèges et installe un programme nommé PlasmaLoader. Ce dernier dispose d'un accès racine au système et peut télécharger des modules additionnels, ou extraire des données sensibles comme les portefeuilles et phrases de récupération de cryptomonnaies.
Coruna cible spécifiquement le navigateur Safari, principale porte d'entrée sur iOS. L'outil a été diffusé via de faux services liés aux cryptomonnaies : les chercheurs qualifient ce procédé d'attaque par « point d'eau », le piège attendant que la victime vienne d'elle-même. Un seul clic peut suffire. Autre détail révélateur : si le mode Verrouillage d'Apple est activé ou que l'utilisateur navigue en mode privé, Coruna s'interrompt automatiquement. Onze des failles mobilisées n'ont toujours pas reçu d'identifiant CVE officiel, et Google n'est pas certain que cinq d'entre elles aient été corrigées.
Quand les outils des États deviennent des produits de revente criminels
C'est là que l'affaire dépasse le simple bulletin de sécurité. Selon l'analyse d'iVerify, Coruna partage ses bases techniques avec des outils de piratage liés au gouvernement américain. Ce kit semble avoir fuité avant d'être repris par des acteurs très différents.
La chronologie reconstruite par Google est parlante. Une première utilisation remonterait à février 2025, attribuée à un client non identifié d'un fournisseur de logiciels espions. En juillet 2025, un groupe de renseignement russe aurait déployé le même outil sur des sites ukrainiens compromis. Des cybercriminels basés en Chine ont ensuite été repérés en train d'utiliser Coruna via des pages frauduleuses liées aux cryptomonnaies.
Ce scénario rappelle Pegasus, le logiciel espion du groupe NSO vendu à des gouvernements, qui a fini par cibler journalistes, militants et cadres dirigeants bien au-delà de toute mission officielle. La différence avec Coruna, c'est l'échelle : il ne s'agit plus de surveillance ciblée, mais d'attaques de masse visant tous les iPhones non mis à jour. Comme iVerify le relève, « plus l'utilisation s'élargit, plus une fuite est inévitable ». Pour vérifier une éventuelle infection, iVerify a rendu son application gratuite jusqu'en mai.
