Photos, mots de passe, historique de localisation, conversations WhatsApp, données de santé. Tout aspiré en quelques secondes, sans la moindre alerte. La victime n’a rien fait de suspect : elle a simplement ouvert un site d’information dans Safari.
C’est le scénario décrit par Google dans un rapport publié le 18 mars 2026. Son équipe de renseignement sur les menaces (Google Threat Intelligence Group, ou GTIG) y détaille le fonctionnement de DarkSword, un kit de piratage capable de prendre le contrôle total d’un iPhone à distance. Le tout, sans que l’utilisateur ne reçoive jamais le moindre signal d’alerte.
Des sites officiels transformés en pièges invisibles
DarkSword ne circule pas via des liens douteux dans un e-mail de spam. La technique est bien plus redoutable : les pirates injectent leur code dans des sites web tout à fait légitimes. Les chercheurs de la société de cybersécurité iVerify ont identifié deux sites ukrainiens compromis, dont un portail gouvernemental en .gov.ua et un média d’information en ligne. L’utilisateur visite une page qu’il connaît, lit un article, et pendant ce temps, un script caché dans la page lance l’attaque.
En Arabie saoudite, le même kit a été déployé via un faux site imitant Snapchat, selon le rapport de Google. En Turquie, c’est une société de surveillance locale qui l’aurait utilisé. Des cibles ont aussi été identifiées en Malaisie. Le point commun : la victime ne se rend compte de rien.
Six vulnérabilités enchaînées en quelques secondes
La puissance de DarkSword tient dans sa capacité à enchaîner l’exploitation de six failles de sécurité différentes dans iOS. Le processus commence par une vulnérabilité dans le moteur JavaScript de Safari (JavaScriptCore). Une fois cette porte ouverte, le kit contourne les protections de la « sandbox » d’Apple, puis escalade les privilèges jusqu’à obtenir un accès complet au téléphone.
Les versions d’iOS concernées vont de la 18.4 à la 18.7. Les appareils sous iOS 26, le système actuel d’Apple, ne sont pas vulnérables. Mais des centaines de millions de téléphones dans le monde tournent encore sur des versions antérieures, soit parce que leur propriétaire n’a pas fait la mise à jour, soit parce que leur appareil est trop ancien pour la recevoir. Les iPhone Xs et modèles précédents ne peuvent pas passer sous iOS 26.
Ce que DarkSword siphonne, et ce qu’il active sans prévenir
La liste de ce que le kit peut extraire donne le vertige. Selon le rapport technique de Google, DarkSword aspire les photos stockées sur l’appareil, les identifiants de connexion, l’historique complet de géolocalisation, les extraits de conversations sur iMessage et WhatsApp (dans la limite du chiffrement activé), les notes, les données de l’application Santé et les accès aux portefeuilles de cryptomonnaies.
Plus inquiétant encore : certaines variantes du kit peuvent activer le microphone de l’iPhone en temps réel, sans déclencher le moindre indicateur visuel. Contrairement au logiciel Pegasus, développé par l’israélien NSO Group, qui provoquait l’affichage d’un avertissement sur les appareils Apple, DarkSword opère dans un silence total. Un redémarrage du téléphone suffit à éliminer le code malveillant, mais à ce stade, les données ont déjà été exfiltrées. L’approche, qualifiée de « hit-and-run » par les chercheurs de Lookout, consiste à tout collecter en quelques secondes ou minutes avant de disparaître.
Des espions étatiques aux sociétés de surveillance privées
Un groupe de cyberespionnage probablement lié à la Russie, identifié sous le nom de code UNC6353 par Google, figure parmi les utilisateurs de DarkSword. C’est le même groupe qui avait déjà exploité Coruna, un autre kit de piratage pour iPhone découvert quelques semaines plus tôt. UNC6353 a ciblé des utilisateurs ukrainiens via les sites d’information compromis.
Mais DarkSword n’est pas réservé aux services de renseignement. Google a identifié plusieurs « fournisseurs de surveillance commerciale » utilisant le même kit pour leurs propres clients. Le constat est limpide : il existe désormais un marché de seconde main pour ces outils d’espionnage de pointe. « Des groupes disposant de ressources plus limitées et de motivations autres que l’espionnage ciblé peuvent désormais acquérir des exploits de premier ordre », alerte Lookout dans son analyse. Rocky Cole, cofondateur de la société de cybersécurité iVerify, résume la situation dans un entretien accordé à Wired : « Un grand nombre d’utilisateurs iOS pourraient se faire voler toutes leurs données personnelles simplement en visitant un site web populaire. »
Apple a réagi, mais le parc installé reste exposé
Les six vulnérabilités exploitées par DarkSword ont été signalées à Apple fin 2025, précise Google. Elles ont été corrigées progressivement dans les mises à jour iOS 26.1, 26.2 et 26.3. Pour les appareils trop anciens, coincés sur iOS 18, Apple a publié un correctif d’urgence il y a quelques jours.
Le problème est que la mise à jour ne se fait pas toute seule. Des centaines de millions de personnes utilisent encore des appareils Apple sous iOS 18 ou des versions précédentes, selon BFM TV. Pour ces utilisateurs, Google recommande d’activer le « mode isolement » (Lockdown Mode), une option de sécurité renforcée qui limite certaines fonctionnalités mais bloque la plupart des vecteurs d’attaque exploités par DarkSword.
Pour vérifier sa version d’iOS : Réglages, puis Général, puis Informations. Toute version inférieure à iOS 26.3 mérite une mise à jour immédiate. Et si l’appareil ne peut plus être mis à jour, il faut considérer qu’il est exposé à ce type d’attaque, surtout si l’on navigue sur des sites d’actualité ou gouvernementaux dans des zones de conflit.
Le modèle de sécurité de l’iPhone sous pression
DarkSword arrive deux semaines après la révélation de Coruna, un autre kit d’exploitation complet visant iOS. Deux outils de piratage capables de compromettre un iPhone en un seul clic, découverts en moins d’un mois, et utilisés par des acteurs très différents les uns des autres. La tendance inquiète les spécialistes : le verrouillage du système Apple, longtemps considéré comme un rempart, devient un terrain de chasse pour un nombre croissant de groupes malveillants.
Google, Lookout et iVerify ont publié leurs recherches de manière coordonnée le 18 mars. Les domaines impliqués dans la diffusion de DarkSword ont été ajoutés à Google Safe Browsing, le système qui alerte les utilisateurs de Chrome et Safari lorsqu’ils s’apprêtent à visiter un site dangereux. La prochaine mise à jour de sécurité d’Apple, attendue en avril, devrait intégrer des protections supplémentaires contre les techniques de contournement utilisées par ces kits.
