DarkSword : quand un kit d’espionnage fantôme vide vos iPhone en silence

Pendant que des millions d’utilisateurs Apple démarrent leur journée, consultent leurs comptes bancaires ou ouvrent leurs portefeuilles crypto depuis leur iPhone, une menace silencieuse rôde dans l’ombre du web. Son nom : DarkSword. Un kit d’exploitation sophistiqué, capable de s’introduire dans un appareil iOS sans que l’utilisateur n’appuie sur quoi que ce soit, de siphonner ses données les plus sensibles en quelques secondes, puis de disparaître sans laisser de traces. Une intrusion propre, froide, presque parfaite. Et depuis ce lundi 23 mars, le code source de ce logiciel espion a été mis en ligne sur GitHub, à la portée de n’importe qui.

Des centaines de millions d’iPhones à travers le monde pourraient être vulnérables si leurs propriétaires n’ont pas récemment effectué les mises à jour disponibles. Une alerte que Google, la société de cybersécurité iVerify et le spécialiste Lookout ont lancée conjointement, après des mois d’investigation sur le terrain.

Qu’est-ce que DarkSword exactement ?

DarkSword est ce que les chercheurs appellent une « chaîne d’exploitation », une technique d’attaque où un pirate combine plusieurs failles logicielles pour infiltrer un appareil via de multiples points d’entrée simultanément, rendant la défense considérablement plus difficile.

Concrètement, DarkSword exploite six vulnérabilités distinctes, dont trois failles dites « zero-day », des brèches inconnues du fabricant au moment de leur exploitation, pour compromettre totalement un appareil iOS. Ces failles traversent plusieurs couches du système Apple : le moteur JavaScript du navigateur Safari, le processeur graphique, le composant de lecture multimédia, et jusqu’au noyau même du système d’exploitation.

Ce qui rend DarkSword particulièrement redoutable, c’est son mode opératoire dit « hit-and-run ». Le logiciel adopte une approche éclair : il collecte et exfiltre les données ciblées en quelques secondes, au maximum en quelques minutes, avant d’effacer toute trace de son passage. Pas de persistance, pas de résidu détectable. L’intrus entre, prend ce qu’il cherche, et repart comme un fantôme.

Une attaque déclenchée par un simple clic

Le détail qui glace le sang : visiter simplement un site web malveillant ou compromis avec un appareil vulnérable peut suffire à déclencher l’infection, ce que les experts appellent une attaque « drive-by ». Aucun téléchargement, aucun clic suspect sur une pièce jointe. La simple navigation web devient une porte d’entrée.

Parmi les sites identifiés dans les attaques DarkSword figure une adresse gouvernementale ukrainienne en .gov.ua, indiquant que le serveur d’une institution étatique avait été compromis. Dans un autre cas, des pirates ont ciblé des utilisateurs iPhones en Arabie Saoudite à travers un site conçu pour imiter l’apparence de l’application Snapchat.

Ce vecteur d’attaque bouleverse les règles du jeu. Jusqu’ici, les exploits de ce niveau de sophistication étaient considérés comme des outils rares, réservés à des attaques très ciblées contre des individus à haute valeur. DarkSword marque un glissement fondamental : une exploitation de masse via des sites compromis, permettant d’infecter des appareils simplement quand leurs utilisateurs naviguent sur des pages malveillantes ou piratées.

Qui se cache derrière DarkSword ?

L’enquête menée par le Google Threat Intelligence Group (GTIG) révèle une constellation d’acteurs aux motivations variées, ce qui en dit long sur la dangerosité du kit. DarkSword a été utilisé à la fois par des vendeurs commerciaux de logiciels espions et par des acteurs soutenus par des États, avec des campagnes observées en Arabie Saoudite, en Turquie, en Malaisie et en Ukraine.
Plus précisément, UNC6353, un acteur d’espionnage suspecté d’être russe, utilise des kits d’exploitation depuis l’été 2025 et a commencé à déployer DarkSword en décembre 2025 contre des cibles ukrainiennes, une activité qui s’est poursuivie jusqu’en mars 2026.

Un autre groupe, le fournisseur commercial de surveillance turc PARS Defense, a utilisé DarkSword en novembre 2025 en Turquie, puis en janvier 2026 en Malaisie, avec des versions obfusquées du code et un chiffrement des échanges entre le serveur et la victime pour brouiller les pistes.

Les données volées incluent des identifiants et mots de passe, et l’outil cible spécifiquement une large gamme d’applications de portefeuilles de cryptomonnaies, ce qui suggère un acteur à motivation financière prononcée.

Le code désormais en accès libre : une escalade inquiétante

Le tournant majeur de cette semaine survient lundi 23 mars. Quelqu’un a rendu publique une version récente de DarkSword en la déposant sur GitHub, la plateforme de partage de code.

Les conséquences potentielles sont immédiates. Les fichiers publiés sont simples, uniquement du HTML et du Javascript. Ce qui signifie que n’importe qui peut les copier-coller et les héberger sur un serveur en quelques minutes à quelques heures. « Les exploits fonctionneront directement, sans aucune expertise iOS requise« , a confirmé un chercheur d’iVerify.

Là où les outils d’espionnage de cette envergure étaient autrefois réservés à des États ou à des agences gouvernementales disposant de moyens considérables, les découvertes de DarkSword et de son prédécesseur Coruna prouvent qu’il existe un marché secondaire pour de tels exploits, permettant à des groupes aux ressources plus limitées d’acquérir des outils de premier plan et de les déployer contre des utilisateurs mobiles ordinaires.

Combien d’appareils sont réellement exposés ?

Les iPhones tournant sous iOS versions 18.4 à 18.7 sont potentiellement vulnérables aux attaques via DarkSword. Cela représente environ 270 millions d’appareils dans le monde, selon iVerify.
Selon les propres chiffres d’Apple, environ un quart de tous les utilisateurs d’iPhone et d’iPad utilisent encore iOS 18 ou une version antérieure. Un chiffre considérable, alimenté notamment par la réticence de nombreux utilisateurs à adopter iOS 26, la dernière version du système, en raison de son interface redessinée baptisée « Liquid Glass« .

Ce qu’Apple préconise : mettre à jour sans attendre

Face à l’ampleur de la menace, Apple a réagi en publiant des mises à jour d’urgence et en diffusant des consignes claires. La porte-parole d’Apple, Sarah O’Rourke, a déclaré que les appareils disposant d’un logiciel à jour ne sont pas exposés à ces attaques, et que le mode Confinement (« Lockdown Mode ») bloque également ces attaques spécifiques.

Pour les iPhone concernés, deux options s’offrent aux utilisateurs :

• Mettre à jour vers iOS 18.7.6 pour les modèles plus anciens comme l’iPhone XR, XS et XS Max, ou vers iOS 26.3.1 pour les modèles plus récents.
• Pour ceux qui souhaitent absolument rester sur iOS 18, le mode Confinement peut également bloquer ces attaques.

L’activation du mode Confinement se fait depuis Réglages > Confidentialité et sécurité > Mode Confinement > Activer le mode Confinement.

L’IA au service des pirates : une nouvelle frontière

Un élément supplémentaire alerte les chercheurs. Selon les équipes de Lookout, DarkSword et son prédécesseur Coruna présentent des signes d’une assistance aux grands modèles de langage (LLM) dans le développement ou la personnalisation du code, notamment visible par la présence de commentaires détaillés expliquant chaque fonctionnalité du code.

Autrement dit, l’intelligence artificielle aurait pu servir d’assistant dans la conception de cet outil d’espionnage. Cette évolution abaisse les barrières à l’entrée, permettant à des acteurs moins sophistiqués de déployer des capacités avancées, ce qui laisse présager que des outils de ce type continueront de proliférer auprès d’un éventail toujours plus large d’acteurs malveillants.