Le code source d'un outil d'espionnage étatique vient de fuiter publiquement. Il suffit de quelques heures et de zéro compétence en iOS pour le déployer.
La menace DarkSword vient de changer de nature. Nous avions détaillé le fonctionnement de ce kit d'espionnage capable de vider un iPhone non mis à jour via une simple page web. Désormais, le problème n'est plus seulement technique. Comme le rapporte TechCrunch, une version fonctionnelle du kit a été publiée sur GitHub. N'importe qui peut la télécharger.
Du code HTML, du JavaScript et aucune expertise requise
Le constat des chercheurs en sécurité est glaçant. Matthias Frielingsdorf, cofondateur d'iVerify, résume la situation sans détour. Les fichiers publiés sont du simple HTML et JavaScript. Un pirate peut les copier, les coller sur un serveur et les rendre opérationnels en quelques heures. Aucune connaissance d'iOS n'est nécessaire.
Google a confirmé cette analyse. L'entreprise avait déjà étudié DarkSword via son Threat Intelligence Group. Un chercheur en sécurité a d'ailleurs réussi à pirater un iPad mini sous iOS 18 avec l'échantillon circulant en ligne. Le kit exploite six failles, dont trois zero-day. La chaîne commence par WebKit (le moteur de Safari), traverse plusieurs couches de sandbox, puis atteint le noyau d'iOS. En quelques minutes, contacts, messages, historique de navigation, trousseau iCloud et portefeuilles crypto sont exfiltrés vers un serveur distant.
Le fichier publié sur GitHub contient même les notes des développeurs. Elles décrivent l'outil comme un programme qui « lit et exfiltre des fichiers pertinents depuis les appareils iOS via HTTP ». Un niveau de documentation qui facilite encore davantage la réutilisation.
Un marché secondaire de l'espionnage étatique en pleine explosion
DarkSword a d'abord été utilisé par UNC6353, un groupe lié au renseignement russe, pour cibler des utilisateurs ukrainiens. Deux sites compromis servaient de vecteur d'attaque : un média indépendant du Donbass et un portail gouvernemental. Le kit a ensuite été repéré chez PARS Defense, un acteur turc du renseignement commercial, contre des cibles en Turquie et en Malaisie.
Cette prolifération illustre un basculement. Les outils d'espionnage de niveau étatique ne restent plus confinés aux agences gouvernementales. Ils circulent, se revendent, puis finissent en accès libre. DarkSword est le deuxième kit de ce type découvert en un mois, après Coruna.
Apple a patché toutes les failles exploitées. Les versions sécurisées sont iOS 26.3.1, iOS 18.7.6, iOS 16.7.15 et iOS 15.8.7. Le mode Isolement (Lockdown Mode) bloque également l'attaque. Mais selon les propres données d'Apple, environ 25 % des iPhone et iPad actifs tournent encore sous iOS 18 ou antérieur. Sur un parc de 2,5 milliards d'appareils, cela représente des centaines de millions de cibles potentielles.
La course n'est plus entre Apple et les hackers. Elle est entre les utilisateurs et le bouton « Mettre à jour ».
