Le code de DarkSword, une faille de sécurité ciblant des millions d’iPhone et iPad sous d’anciennes versions d’iOS et iPadOS, vient d’être mis en ligne sur GitHub. Sa disponibilité publique transforme une menace ciblée en risque généralisé et les experts en sécurité sont formels : des attaques de masse sont désormais à anticiper.

Apple Logo iPhone

DarkSword fait partie d’une paire de vulnérabilités avec Coruna, révélées ces dernières semaines par Google Threat Intelligence Group, iVerify et Lookout. Les deux chaînent plusieurs failles de sécurité au niveau de WebKit (le moteur de rendu de Safari) et d’autres vulnérabilités d’iOS pour permettre le vol de données utilisateur ou la prise de contrôle totale d’un appareil. Apple les a corrigées dans iOS 16.7.15 et iOS 15.8.7, publiés en urgence le 11 mars pour les appareils incapables de faire tourner des versions récentes.

Dans la foulée des révélations, Apple a publié un document rappelant l’importance de maintenir les iPhone et iPad à jour, même sur d’anciennes versions d’iOS, et signalant que le mode Isolement permettait de contrer ces tentatives.

Le code de DarkSword est accessible sur GitHub

La mise en ligne sur GitHub d’une version plus récente de DarkSword change l’équation. Matthias Frielingsdorf, cofondateur d’iVerify, ne mâche pas ses mots dans une déclaration à TechCrunch : « C’est grave. Ils sont beaucoup trop faciles à réutiliser. Je ne pense pas que ça puisse être contenu. Il faut s’attendre à ce que des criminels et d’autres commencent à les déployer ». Il précise que les fichiers publiés ne sont que du HTML et du JavaScript, ne requièrent aucune expertise dans iOS et peuvent être copiés et hébergés sur un serveur en quelques minutes à quelques heures. « Les vulnérabilités fonctionneront directement, sans configuration », ajoute-t-il.

Il confirme par ailleurs que cette version partagée publiquement s’appuie sur la même infrastructure que celle analysée précédemment par lui et ses collègues d’iVerify, avec des fichiers légèrement différents, ce qui établit une continuité directe entre les deux versions du logiciel malveillant.

Apple, contacté par TechCrunch, a réaffirmé que les iPhone et iPad tournant sous des versions d’iOS à jour ne sont pas exposés à ces attaques et que le mode Isolement les bloque spécifiquement. « Maintenir votre logiciel à jour est la chose la plus importante que vous puissiez faire pour assurer la sécurité de vos produits Apple », a déclaré une porte-parole. Microsoft, propriétaire de GitHub, n’a pas répondu pour le moment.