Netcrook Logo
👤 KERNELWATCHER
🗓️ 23 Mar 2026   🌍 North America

DarkSword Déchaîné : Plongée au cœur du piratage sophistiqué d’iOS visant les appareils Apple dans le monde entier

Une chaîne d’exploits furtive et multi-étapes, baptisée « DarkSword », permet à des cybercriminels et des hackers soutenus par des États de compromettre les appareils Apple avec une facilité alarmante.

Tout a commencé par un simple clic - une pression innocente sur un site web apparemment inoffensif. En quelques secondes, une chaîne invisible de cyberattaques s’est enclenchée, prenant silencieusement le contrôle des appareils Apple de l’intérieur. Aujourd’hui, l’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) tire la sonnette d’alarme : « DarkSword », une chaîne d’exploits iOS récemment découverte, est activement utilisée pour compromettre iPhone, iPad et autres, dans des attaques liées à l’espionnage, au vol de données et potentiellement même à des braquages de cryptomonnaies.

En Bref

  • La CISA a ajouté trois vulnérabilités critiques d’Apple exploitées par DarkSword à son catalogue des vulnérabilités exploitées connues au 20 mars 2026.
  • DarkSword est une chaîne d’attaque multi-étapes affectant iOS, iPadOS, macOS, watchOS, tvOS et visionOS, nécessitant une interaction minimale de l’utilisateur.
  • Les attaques commencent par la visite d’un site web malveillant, menant à la compromission totale de l’appareil - y compris un accès au niveau du noyau.
  • Lié à des acteurs de la surveillance commerciale russes et turcs, l’exploit a été utilisé pour des campagnes d’espionnage ciblé et de vol d’informations.
  • Les agences fédérales américaines sont tenues de corriger les appareils affectés avant le 3 avril 2026 ; tous les utilisateurs sont vivement encouragés à mettre à jour immédiatement.

Les chercheurs en sécurité ont retracé l’origine de DarkSword à une chaîne de six vulnérabilités, dont trois - CVE-2025-31277, CVE-2025-43510 et CVE-2025-43520 - sont désormais au centre de la directive d’urgence de la CISA. L’attaque commence par une faille de corruption de mémoire, déclenchée simplement en visitant un site compromis ou malveillant via Safari ou un navigateur intégré à une application. Aucun téléchargement, aucune fenêtre suspecte - un seul clic suffit pour que l’attaquant prenne pied.

À partir de là, DarkSword s’intensifie avec un dépassement de tampon, permettant aux attaquants d’écrire directement au cœur du système d’exploitation de l’appareil - le noyau. Les privilèges sont discrètement élevés, les contrôles de sécurité contournés, et le système se retrouve grand ouvert. L’étape finale exploite un problème de verrouillage, offrant un contrôle persistant et permettant aux attaquants de surveiller les utilisateurs, de voler des données, voire de déployer d’autres malwares - le tout à l’insu de la victime.

Ce qui rend DarkSword particulièrement dangereux, c’est sa furtivité et son efficacité. L’exploit est conçu pour des opérations de courte durée, effaçant ses traces après l’exfiltration d’informations sensibles. Les chercheurs ont observé plusieurs groupes de menaces utilisant DarkSword, dont un client du fournisseur turc de surveillance PARS Defense et un groupe d’espionnage russe présumé. Lors d’une campagne, les attaquants ont utilisé des tactiques de « watering hole », infectant les iPhone des visiteurs de sites ukrainiens de e-commerce et industriels. Les charges utiles déposées incluent des voleurs d’informations agressifs et des portes dérobées capables d’extraire d’importantes quantités de données personnelles et organisationnelles.

Bien qu’Apple ait déjà publié des correctifs pour ces vulnérabilités, les appareils non mis à jour - en particulier ceux fonctionnant sous iOS versions 18.4 à 18.7 - restent très exposés. La directive de la CISA s’applique aux agences fédérales, mais le grand public est invité à agir rapidement. Pour ceux qui ne peuvent pas appliquer les correctifs, le conseil de la CISA est sans détour : cessez d’utiliser les appareils concernés.

La saga DarkSword rappelle crûment que même les plateformes les plus fiables ne sont pas à l’abri d’attaques informatiques innovantes. Alors que les chaînes d’exploits multi-étapes deviennent la norme, la vigilance, la rapidité des correctifs et la sensibilisation des utilisateurs restent nos meilleures lignes de défense face à un paysage de menaces en constante évolution.

WIKICROOK

  • Chaîne d’exploits : Une chaîne d’exploits est une série de vulnérabilités liées que les attaquants utilisent ensemble pour compromettre un système, contournant la sécurité en plusieurs étapes.
  • Noyau : Le noyau est le cœur d’un système d’exploitation, gérant les ressources matérielles et logicielles pour assurer un fonctionnement efficace et sécurisé du système.
  • Dépassement de tampon : Un dépassement de tampon est une faille logicielle où trop de données sont écrites en mémoire, permettant potentiellement aux hackers d’exploiter le système en exécutant du code malveillant.
  • Escalade de privilèges : L’escalade de privilèges se produit lorsqu’un attaquant obtient un accès de niveau supérieur, passant d’un compte utilisateur standard à des privilèges administrateur sur un système ou un réseau.
  • Watering : Le « watering » consiste pour les attaquants à compromettre des sites web de confiance afin d’infecter ou d’espionner des groupes spécifiques en ciblant les sites qu’ils visitent fréquemment.
DarkSword iOS exploit cyberattacks
KERNELWATCHER KERNELWATCHER
Linux Kernel Security Analyst
← Back to news