🗞️ Contexte

Article publié le 26 mars 2026 par Lorenzo Franceschi-Bicchierai sur TechCrunch. Il synthétise les observations de chercheurs en sécurité de Google, iVerify et Lookout concernant deux outils de hacking iOS récemment documentés et désormais fuités en ligne.

🎯 Campagnes documentées

Au cours du dernier mois, des chercheurs ont documenté plusieurs campagnes de hacking à grande échelle ciblant des victimes dans le monde entier via :

  • Des sites web compromis ou des pages frauduleuses (drive-by download)
  • Les outils Coruna et DarkSword, utilisés de manière quasi-indiscriminée contre des utilisateurs n’ayant pas mis à jour leur iOS

Les acteurs identifiés incluent des espions russes et des cybercriminels chinois.

🔓 Fuite des outils et marché secondaire

Ces outils ont fuité en ligne, permettant désormais à n’importe quel acteur de lancer des attaques contre des utilisateurs d’iOS 18 ou versions antérieures. Justin Albrecht (Lookout) souligne l’émergence d’un marché secondaire d’exploits : une fois un exploit patché, les brokers ont intérêt à le revendre avant que tout le monde ne mette à jour.

🔬 Détails techniques

  • DarkSword repose massivement sur des bugs de corruption mémoire (memory corruption), selon Google
  • iOS 26 sur iPhone 17 (2025) intègre une nouvelle fonctionnalité : Memory Integrity Enforcement, conçue pour bloquer les bugs de corruption mémoire
  • Les appareils sous iOS 18 ou antérieur restent vulnérables aux attaques mémoire
  • Apple a également introduit du code memory-safe et le mode Lockdown Mode pour ses modèles récents

👥 Experts cités

  • Matthias Frielingsdorf (co-fondateur, iVerify) : les attaques mobiles sont désormais « répandues », mais les zero-days contre les logiciels à jour resteront rares et coûteux
  • Patrick Wardle (expert sécurité Apple) : les attaques sont sous-documentées, pas rares ; les capacités offensives étatiques sont une « baseline » accessible
  • Justin Albrecht (Lookout) : le marché secondaire d’exploits crée une incitation financière durable

📌 Type d’article

Article de presse spécialisée à visée analytique, dont le but principal est de documenter l’impact de la fuite de Coruna et DarkSword sur la sécurité des iPhones non mis à jour et d’illustrer la bifurcation croissante entre utilisateurs iOS récents et anciens.

🧠 TTPs et IOCs détectés

Acteurs de menace

  • Russian Intelligence Services (state-sponsored)
  • Chinese Cybercriminals (cybercriminal)

TTP

  • T1189 — Drive-by Compromise (Initial Access)
  • T1203 — Exploitation for Client Execution (Execution)
  • T1404 — Exploit OS Vulnerability (Privilege Escalation)
  • T1430 — Location Tracking (Collection)
  • T1636 — Contact List (Collection)

Malware / Outils

  • Coruna (other)
  • DarkSword (other)

🔗 Source originale : https://techcrunch.com/2026/03/26/apple-made-strides-with-ios-26-security-but-leaked-hacking-tools-still-leave-millions-exposed-to-spyware-attacks/