Google, iVerify et Lookout viennent de mettre au jour un kit d’exploitation baptis\u00e9 DarkSword, capable de prendre le contr\u00f4le total d’un iPhone en encha\u00eenant six failles iOS dont trois zero-day. Espions russes, vendeurs de surveillance turcs et hackers saoudiens s’en sont servis. Apple a corrig\u00e9 le tir avec iOS 26.3, mais jusqu’\u00e0 270 millions d’appareils restent expos\u00e9s.<\/p>\n
Pour tout vous dire, DarkSword, avec son nom qui fait peur, n’est pas un petit malware de plus qui pointe le bout de son nez. C’est une cha\u00eene d’exploitation compl\u00e8te \u00e9crite en JS, qui cible tous les iPhone qui tournent sous iOS, de la version 18.4 \u00e0 la 18.7.<\/p>\n
Le principe : vous tombez sur une page web pi\u00e9g\u00e9e dans Safari, une iFrame charge du code malveillant, et c’est parti.<\/p>\n
Ensuite, il contourne les protections du bac \u00e0 sable via le processus GPU, escalade les privil\u00e8ges jusqu’au noyau, et finit par injecter un module dans le daemon mediaplaybackd. Six vuln\u00e9rabilit\u00e9s au total, dont trois \u00e9taient des zero-day au moment de leur exploitation : CVE-2026-20700, CVE-2025-43529 et CVE-2025-14174.<\/p>\n
Et les donn\u00e9es aspir\u00e9es ne sont pas anecdotiques : e-mails, fichiers iCloud, contacts, SMS, historique Safari, mots de passe, photos, donn\u00e9es de localisation, et m\u00eame les messages Telegram et WhatsApp.<\/p>\n
Les portefeuilles crypto aussi sont vis\u00e9s. Le tout en quelques secondes \u00e0 peine, avec nettoyage des traces apr\u00e8s exfiltration. Du travail soign\u00e9, d’apr\u00e8s les chercheurs, m\u00eame si le code n’est curieusement pas du tout obfusqu\u00e9.<\/p>\n
Trois groupes distincts ont utilis\u00e9 DarkSword depuis novembre 2025. Le premier, UNC6353, est un groupe d’espionnage pr\u00e9sum\u00e9 russe qui a cibl\u00e9 des utilisateurs ukrainiens via des sites web compromis. Le deuxi\u00e8me, UNC6748, a utilis\u00e9 un faux domaine Snapchat pour pi\u00e9ger des cibles en Arabie saoudite.<\/p>\n
Et le troisi\u00e8me n’est autre que PARS Defense, un vendeur turc de solutions de surveillance commerciale. Chacun d\u00e9ploie sa propre variante de malware : GHOSTBLADE, GHOSTKNIFE ou GHOSTSABER selon le cas.<\/p>\n
DarkSword est d’ailleurs le deuxi\u00e8me kit d’exploit iOS d\u00e9couvert en un mois, apr\u00e8s Coruna. Les deux partagent une partie de leur infrastructure, mais sont d\u00e9velopp\u00e9s par des \u00e9quipes diff\u00e9rentes.<\/p>\n
Selon iVerify, jusqu’\u00e0 270 millions d’iPhone seraient potentiellement vuln\u00e9rables, et Lookout estime que 15 % des appareils iOS en circulation tournent encore sur des versions ant\u00e9rieures \u00e0 iOS 26.<\/p>\n
Mettez \u00e0 jour, et vite<\/strong><\/p>\n Apple a corrig\u00e9 l’ensemble des failles avec iOS 26.3, sorti plus t\u00f4t ce mois-ci. La version la plus r\u00e9cente est iOS 26.3.1. Si vous n’avez pas encore fait la mise \u00e0 jour, c’est le moment.<\/p>\n Pour les profils les plus expos\u00e9s \u2014 journalistes, militants, chercheurs en s\u00e9curit\u00e9 \u2014 Apple recommande aussi d’activer le mode Isolement, qui limite les surfaces d’attaque en d\u00e9sactivant certaines fonctionnalit\u00e9s de Safari et des services de messagerie.<\/p>\n Deux kits d’exploit iOS d\u00e9couvert en l’espace d’un mois, avec des acteurs aussi vari\u00e9s que des espions russes et des bo\u00eetes de surveillance turques, \u00e7a fait quand m\u00eame beaucoup. On savait que l’iPhone n’\u00e9tait pas invuln\u00e9rable, mais l\u00e0 on parle de cha\u00eenes compl\u00e8tes qui fonctionnent sur des versions r\u00e9centes d’iOS, pas sur de vieux iPhone 6 oubli\u00e9s dans un tiroir.<\/p>\n Bon, au moins, Apple a r\u00e9agi et les correctifs sont l\u00e0. Mais entre le moment o\u00f9 ces failles ont \u00e9t\u00e9 exploit\u00e9es, fin 2025, et leur correction compl\u00e8te, il s’est pass\u00e9 plusieurs mois. Franchement, si vous repoussez les mises \u00e0 jour iOS depuis des semaines, c’est peut-\u00eatre le bon moment d’appuyer sur le bouton.<\/p>\n","protected":false},"excerpt":{"rendered":" Google, iVerify et Lookout viennent de mettre au jour un kit d’exploitation baptis\u00e9 DarkSword, capable de prendre le contr\u00f4le total d’un iPhone en encha\u00eenant six failles iOS dont trois zero-day. Espions russes, vendeurs de surveillance turcs et hackers saoudiens s’en sont servis. Apple a corrig\u00e9 le tir avec iOS 26.3, mais jusqu’\u00e0 270 millions d’appareils restent expos\u00e9s. Six failles, trois zero-day et un iPhone grand ouvert Pour tout vous dire, DarkSword, avec son nom qui fait peur, n’est pas un petit malware de plus qui pointe le bout de son nez. C’est une cha\u00eene d’exploitation compl\u00e8te \u00e9crite en JS, qui cible tous les iPhone qui tournent sous iOS, de la version 18.4 \u00e0 la 18.7. Le principe : vous tombez sur une page web pi\u00e9g\u00e9e dans Safari, une iFrame charge du code malveillant, et c’est parti. Ensuite, il contourne les protections du bac \u00e0 sable via le processus GPU, escalade les privil\u00e8ges jusqu’au noyau, et finit par injecter un module dans le daemon mediaplaybackd. Six vuln\u00e9rabilit\u00e9s au total, dont trois \u00e9taient des zero-day au moment de leur exploitation : CVE-2026-20700, CVE-2025-43529 et CVE-2025-14174. Et les donn\u00e9es aspir\u00e9es ne sont pas anecdotiques : e-mails, fichiers iCloud, contacts, SMS, historique Safari, mots de passe, photos, donn\u00e9es de localisation, et m\u00eame les messages Telegram et WhatsApp. Les portefeuilles crypto aussi sont vis\u00e9s. Le tout en quelques secondes \u00e0 peine, avec nettoyage des traces apr\u00e8s exfiltration. Du travail soign\u00e9, d’apr\u00e8s les chercheurs, m\u00eame si le code n’est curieusement pas du tout obfusqu\u00e9. Espions russes, vendeurs de surveillance et sites ukrainiens pi\u00e9g\u00e9s Trois groupes distincts ont utilis\u00e9 DarkSword depuis novembre 2025. Le premier, UNC6353, est un groupe d’espionnage pr\u00e9sum\u00e9 russe qui a cibl\u00e9 des utilisateurs ukrainiens via des sites web compromis. Le deuxi\u00e8me, UNC6748, a utilis\u00e9 un faux domaine Snapchat pour pi\u00e9ger des cibles en Arabie saoudite. Et le troisi\u00e8me n’est autre que PARS Defense, un vendeur turc de solutions de surveillance commerciale. Chacun d\u00e9ploie sa propre variante de malware : GHOSTBLADE, GHOSTKNIFE ou GHOSTSABER selon le cas. DarkSword est d’ailleurs le deuxi\u00e8me kit d’exploit iOS d\u00e9couvert en un mois, apr\u00e8s Coruna. Les deux partagent une partie de leur infrastructure, mais sont d\u00e9velopp\u00e9s par des \u00e9quipes diff\u00e9rentes. Selon iVerify, jusqu’\u00e0 270 millions d’iPhone seraient potentiellement vuln\u00e9rables, et Lookout estime que 15 % des appareils iOS en circulation tournent encore sur des versions ant\u00e9rieures \u00e0 iOS 26. Mettez \u00e0 jour, et vite Apple a corrig\u00e9 l’ensemble des failles avec iOS 26.3, sorti plus t\u00f4t ce mois-ci. La version la plus r\u00e9cente est iOS 26.3.1. Si vous n’avez pas encore fait la mise \u00e0 jour, c’est le moment. Pour les profils les plus expos\u00e9s \u2014 journalistes, militants, chercheurs en s\u00e9curit\u00e9 \u2014 Apple recommande aussi d’activer le mode Isolement, qui limite les surfaces d’attaque en d\u00e9sactivant certaines fonctionnalit\u00e9s de Safari et des services de messagerie. Deux kits d’exploit iOS d\u00e9couvert en l’espace d’un mois, avec des acteurs aussi vari\u00e9s que des espions russes et des bo\u00eetes de surveillance turques, \u00e7a fait quand m\u00eame beaucoup. On savait que l’iPhone n’\u00e9tait pas invuln\u00e9rable, mais l\u00e0 on parle de cha\u00eenes compl\u00e8tes qui fonctionnent sur des versions r\u00e9centes d’iOS, pas sur de vieux iPhone 6 oubli\u00e9s dans un tiroir. Bon, au moins, Apple a r\u00e9agi et les correctifs sont l\u00e0. Mais entre le moment o\u00f9 ces failles ont \u00e9t\u00e9 exploit\u00e9es, fin 2025, et leur correction compl\u00e8te, il s’est pass\u00e9 plusieurs mois. Franchement, si vous repoussez les mises \u00e0 jour iOS depuis des semaines, c’est peut-\u00eatre le bon moment d’appuyer sur le bouton.<\/p>\n","protected":false},"author":1,"featured_media":2560,"parent":0,"menu_order":0,"comment_status":"closed","ping_status":"closed","template":"","meta":{"give_campaign_id":0,"_monsterinsights_skip_tracking":false,"_monsterinsights_sitenote_active":false,"_monsterinsights_sitenote_note":"","_monsterinsights_sitenote_category":0,"_kadence_starter_templates_imported_post":false,"footnotes":""},"class_list":["post-2559","page","type-page","status-publish","has-post-thumbnail","hentry"],"campaignId":"","_links":{"self":[{"href":"https:\/\/elearningsamba.com\/index.php\/wp-json\/wp\/v2\/pages\/2559","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/elearningsamba.com\/index.php\/wp-json\/wp\/v2\/pages"}],"about":[{"href":"https:\/\/elearningsamba.com\/index.php\/wp-json\/wp\/v2\/types\/page"}],"author":[{"embeddable":true,"href":"https:\/\/elearningsamba.com\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/elearningsamba.com\/index.php\/wp-json\/wp\/v2\/comments?post=2559"}],"version-history":[{"count":0,"href":"https:\/\/elearningsamba.com\/index.php\/wp-json\/wp\/v2\/pages\/2559\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/elearningsamba.com\/index.php\/wp-json\/wp\/v2\/media\/2560"}],"wp:attachment":[{"href":"https:\/\/elearningsamba.com\/index.php\/wp-json\/wp\/v2\/media?parent=2559"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}