Dans un rapport, les chercheurs du Google Threat Intelligence Group décrivent comment un kit d’exploitation vendu à plusieurs acteurs, étatiques et commerciaux, a permis de compromettre des iPhone en Arabie saoudite, en Turquie, en Malaisie et en Ukraine.

Il suffit de visiter un site web. Pas besoin de cliquer sur une pièce jointe suspecte, pas besoin de télécharger quoi que ce soit. Une simple visite, et l’iPhone est compromis.

C’est ce que permet DarkSword, une menace cyber visant iOS documentée par le Google Threat Intelligence Group (GTIG) dans un rapport publié le 18 mars 2026. Derrière ce nom se cache un outil de piratage vendu et mis à disposition de plusieurs acteurs différents, des éditeurs commerciaux de logiciels espions, mais aussi des groupes vraisemblablement pilotés par des États.

Outre la sophistication technique du kit, réelle, mais attendue dans ce secteur, les chercheurs du GTIG soulignent surtout sa prolifération. Entre novembre 2025 et mars 2026, DarkSword a été utilisé par au moins trois acteurs distincts, aux profils et aux cibles radicalement différents.

Comment fonctionne DarkSword ?

Pour comprendre DarkSword, il faut analyser point par point sa chaîne d’exploitation. Pirater un iPhone ne se fait pas d’un seul coup : Apple a construit son système en couches de sécurité successives, et DarkSword doit les forcer l’une après l’autre en misant sur plusieurs vulnérabilités différentes.

Bitdefender logo black
Bitdefender new Box
Votre vie privée doit rester privée.
Face aux cyberattaques, déjouez les pronostics. Les nouvelles arnaques sont plus complexes et plus sophistiquées, alors ne devenez pas une victime de plus, il existe des solutions performantes et accessibles.
Je protège ma vie privée simplement

La première se situe dans le logiciel Safari. DarkSword exploite une faille dans le moteur JavaScript du navigateur, le composant qui interprète le code des pages web, pour sortir de son contexte normal et exécuter du code arbitraire sur l’appareil.

Chronologie des campagnes DarkSword et des correctifs publiés par Apple entre novembre 2025 et mars 2026. // Source : GTIG
Chronologie des campagnes DarkSword et des correctifs publiés par Apple entre novembre 2025 et mars 2026. // Source : GTIG

Mais Safari est conçu pour confiner ce genre d’intrusion dans une zone isolée, censée empêcher tout accès au reste du système. DarkSword doit donc contourner cette protection en escaladant progressivement les niveaux de privilèges via trois autres failles, jusqu’à obtenir un contrôle total sur le noyau du système. Une fois ce stade atteint, l’iPhone est entièrement compromis.

Par ailleurs, DarkSword est entièrement écrit en JavaScript, le langage du web. Un choix technique qui lui permet de contourner certaines protections matérielles d’Apple bloquant l’exécution de code non signé.

Une fois l’appareil compromis, un malware est déposé. GTIG en a identifié trois variantes selon les clients :

GHOSTKNIFE, capable d’aspirer les messages, la localisation et l’audio en temps réel ; GHOSTSABER, plus modulaire, pouvant interroger les bases de données internes de l’iPhone à distance ; et GHOSTBLADE, orienté aspiration massive de données, des mots de passe Wi-Fi aux portefeuilles de cryptomonnaies en passant par les photos et les données de santé.

Dans tous les cas, le malware efface ensuite ses traces en supprimant les journaux de l’appareil.

Un seul outil pour différentes cibles

Les chercheurs du GTIG ont pu identifier trois utilisateurs distincts de DarkSword, avec des niveaux de certitude variables.

  • UNC6748, le plus opaque : origine inconnue, cibles en Arabie saoudite, via un faux site imitant Snapchat qui déclenchait silencieusement l’exploit avant de rediriger la victime vers le vrai réseau social.
  • PARS Defense : un éditeur commercial de logiciels espions turc. La société a déployé DarkSword en Turquie puis en Malaisie, avec une infrastructure plus soignée que les autres utilisateurs identifiés.
  • UNC6353 est le cas le plus sensible politiquement : ce groupe, décrit par GTIG comme vraisemblablement russe, a compromis des sites ukrainiens légitimes pour y piéger leurs visiteurs.

Les failles exploitées par DarkSword ont depuis été corrigées par Apple. La mise à jour vers iOS 26.3, ou au minimum iOS 18.7.3, suffit à briser la chaîne d’exploitation.

Source : Numerama

Vous avez lu 0 articles sur Numerama ce mois-ci

Il y a une bonne raison de ne pas s'abonner à

Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.

Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :

  • 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
  • 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
  • 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.

Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.

S'abonner à Numerama+
Toute l'actu tech en un clien d'oeil

Toute l'actu tech en un clin d'œil

Ajoutez Numerama à votre écran d'accueil et restez connectés au futur !

Pour ne rien manquer de l’actualité, suivez Numerama sur Google !