Le groupe Google Threat Intelligence et la société de sécurité iVerify ont publié les détails d’un kit d’exploitation baptisé Coruna qui utilise 23 failles de sécurité en cinq chaînes d’exploitation complètes pour compromettre des iPhone tournant sous iOS 13 à iOS 17.2.1. Il s’agit de la première exploitation de masse observée du côté d’iOS par un groupe criminel utilisant des outils vraisemblablement conçus par un État.

iPhone 15 Prise en Main

Le vecteur initial repose sur des attaques de point d’eau (watering hole) : des sites compromis, dont de faux services de cryptomonnaies, attirent les victimes vers des pages malveillantes qui exécutent du JavaScript caché pour identifier le modèle de l’iPhone, la version d’iOS et les paramètres de sécurité. L’attaque emprunte ensuite plusieurs routes pour contourner les protections natives d’iOS, élever ses privilèges et installer des logiciels malveillants capables de collecter des données ou de télécharger des modules additionnels. La charge utile finale est à motivation financière : les modules observés sont conçus pour extraire les données de portefeuilles de cryptomonnaies et les phrases de récupération.

Un détail technique est à noter : le kit vérifie si le mode Isolement est activé sur l’appareil et abandonne l’attaque si c’est le cas. Il s’arrête également en cas de navigation privée.

Des outils d’origine probable américaine recyclés par la Russie et la Chine

iVerify, qui a procédé à une rétro-ingénierie du framework, indique que Coruna semble créé sur les mêmes fondations que des outils de piratage connus liés au gouvernement américain. Ces outils auraient fuité à un moment donné, puis auraient été repris dans des campagnes attribuées à des services de renseignement russes et à des hackers basés en Chine.

Cette dynamique confirme une tendance déjà documentée : les logiciels espions touchent désormais bien au-delà des cibles traditionnelles (journalistes et dissidents) pour atteindre des dirigeants d’entreprises technologiques et financières, des équipes de campagnes politiques et toute personne disposant d’accès privilégiés. Plus les outils se diffusent, plus le risque de fuite s’accroît.

Coruna est sans effet sur les versions récentes d’iOS. Maintenir ses appareils à jour reste la mesure de protection la plus directe contre ce type de piratage.