DarkSword cible les iPhone tournant sur iOS 18 (d’iOS 18.4 à iOS 18.6.2) pour les pirater et permet de siphonner des données personnelles après la visite d’un lien malveillant dans Safari. Déjà utilisé par des hackers russes selon le Google Threat Intelligence Group, l’outil a poussé Apple à corriger les failles et à publier une mise à jour d’urgence pour certains anciens modèles.

iPhone 16 Bleu Outremer Arriere Capteurs Photo Prise En Main

Le Google Threat Intelligence Group a analysé l’attaque avec Lookout et iVerify, et a estimé que jusqu’à 270 millions d’iPhone peuvent encore être concernés s’ils tournent sur les versions touchées d’iOS 18. La chaîne d’exploitation repose sur six failles de sécurité et s’active lorsqu’un utilisateur ouvre un site compromis.

Safari au cœur de l’attaque

Le point d’entrée passe par Safari, puis DarkSword ouvre l’accès à de nombreuses données sensibles stockées sur l’iPhone. Les hackers peuvent récupérer les messages, les contacts, les identifiants/mots de passe enregistrés, les fichiers d’iCloud, les photos, les portefeuilles de cryptomonnaies, les journaux d’appels et l’historique de localisation.

Lookout présente DarkSword comme une architecture d’attaque furtive conçue pour extraire des informations de grande valeur puis disparaître avant que les méthodes de détection traditionnelles ne réagissent. Cette mécanique change l’enjeu de la mise à jour : il ne s’agit pas seulement de corriger une faille, mais de fermer une porte d’accès déjà exploitée par des hackers.

Google a signalé les failles à Apple à la fin 2025. Le fabricant d’iPhone a confirmé avoir corrigé l’ensemble des vulnérabilités sous-jacentes dans iOS 26 l’an dernier, puis a publié une mise à jour d’urgence la semaine dernière pour les anciens iPhone ne pouvant pas installer iOS 26.

Un piratage déjà utilisé par des hackers russes

Google affirme que des hackers russes soupçonnés d’être soutenus par la Russie ont utilisé DarkSword contre des utilisateurs situés en Ukraine, en Arabie saoudite, en Malaisie et en Turquie. Les mêmes acteurs ont aussi utilisé Coruna, un autre kit pour pirater les iPhone qu’Apple a récemment corrigé avec iOS 16.7.15 et iOS 15.8.7.

Le risque ne se limite plus au groupe initialement identifié. iVerify souligne que le code de DarkSword a été laissé sans protection et a été facilement accessible, ce qui peut faciliter sa récupération et son redéploiement par d’autres acteurs malveillants.

Deux garde-fous ressortent néanmoins de l’analyse. L’attaque ne touche pas les utilisateurs avec le mode Isolement activé sur iPhone, à savoir une fonction de sécurité « extrême » destinée surtout aux journalistes, aux militants et aux responsables politiques visés par des attaques ciblées. Apple et Google ont aussi bloqué les liens malveillants dans Safari et Chrome qui sont employés dans les attaques de DarkSword.