Combien gagne ?

SMIC

L'Essentiel de l'Éco | Tech | 270 millions d’iPhone visés par des hackers russes

270 millions d’iPhone visés par des hackers russes

Elise Roquebert Temps de lecture : 5 minutes

Des hackers liés à la Russie ont compromis jusqu'à 270 millions d'iPhone via Safari, sans aucun clic. DarkSword est la cyberattaque mobile la plus sophistiquée jamais documentée.

270 millions d’iPhone visés par des hackers russes
© L'Essentiel de l'Éco - 270 millions d’iPhone visés par des hackers russes
Afficher le sommaire Masquer le sommaire

Une technique de piratage baptisée DarkSword permet de prendre le contrôle complet d’un iPhone en chargeant une page web, sans aucune action de la victime. Des chercheurs de Google, d’iVerify et de Lookout ont attribué son utilisation à un groupe lié à la Russie, avec des campagnes actives depuis novembre 2025. Entre 200 et 270 millions d’appareils étaient exposés au moment de la divulgation publique. La mise à jour vers la dernière version d’iOS est la seule parade disponible.

Comment DarkSword prend le contrôle de l’iPhone

Imaginez consulter le site de votre mairie, d’un journal ou d’une administration. Rien d’anormal en apparence. Pourtant, en quelques secondes, votre iPhone vient de livrer tous vos mots de passe, vos messages et votre localisation à des pirates. C’est exactement ce que permet DarkSword.

L’attaque repose sur une technique connue sous le nom de « watering hole » : les pirates compromettent un site existant et y cachent leur code. Pas besoin de cliquer sur un lien suspect, de télécharger un fichier ou d’installer quoi que ce soit. Le simple chargement de la page suffit.

Le code malveillant, écrit en JavaScript, s’exécute dans Safari, vole les données, puis efface ses traces en quelques secondes. Ce que les pirates récupèrent est d’une exhaustivité alarmante : mots de passe Wi-Fi, SMS, messages issus de messageries chiffrées, e-mails, historique d’appels, localisation, historique de navigation, informations de la carte SIM, données de santé, notes, calendrier, certains contenus iCloud et portefeuilles de cryptomonnaies. Parce que les traces disparaissent très vite, détecter l’intrusion après coup est extrêmement difficile.

Quels appareils et quelles versions sont visés

Tous les iPhone sous iOS 18.4 à 18.6.2 sont concernés selon les analyses d’iVerify, et jusqu’à iOS 18.7 dans d’autres campagnes documentées par Google. Les versions antérieures à iOS 18.4 ne semblent pas ciblées par cette variante. Les appareils Android ne sont pas touchés.

Au moment de la divulgation publique, entre 200 et 270 millions d’iPhone en circulation étaient exposés. Ce chiffre baisse au fur et à mesure que les utilisateurs installent les mises à jour.

Apple a publié des correctifs successifs. La totalité des failles exploitées par DarkSword est colmatée à partir d’iOS 26.3, avec des correctifs rétroactifs également disponibles pour certaines versions plus anciennes encore supportées.

Une sophistication de niveau étatique

DarkSword exploite six vulnérabilités distinctes, dont trois inconnues jusqu’alors, pour prendre le contrôle total d’un iPhone. Chacune ouvre la porte à la suivante, de Safari jusqu’au cœur du système.

Concrètement : une première faille dans le composant de Safari qui interprète le code des sites web (CVE-2025-31277 ou CVE-2025-43529) permet d’exécuter du code à distance (CVE-2026-20700). Deux autres failles liées au GPU et aux mécanismes d’isolation (CVE-2025-14174 et CVE-2025-43510) permettent ensuite d’atteindre le noyau du système. Deux vulnérabilités supplémentaires garantissent que l’attaque fonctionne même sur des versions d’iOS légèrement différentes.

Construire une telle chaîne d’attaque demande des moyens considérables. Les spécialistes estiment les budgets nécessaires à plusieurs millions d’euros. Jusqu’ici, ce type d’attaque en une seule étape, du navigateur jusqu’au cœur du téléphone, restait réservé à un petit nombre d’États ou de fournisseurs de logiciels espions très haut de gamme.

Qui exploite DarkSword et comment

Google, Lookout et iVerify attribuent l’utilisation de DarkSword au groupe UNC6353, lié à la Russie. Les campagnes documentées visent des cibles en Ukraine, en Arabie saoudite, en Turquie et en Malaisie, avec un intérêt particulier pour les portefeuilles de cryptomonnaies. Les premières opérations remontent à novembre 2025.

Mais l’affaire ne s’arrête pas là. Des infrastructures similaires ont ensuite été réutilisées par d’autres acteurs, dont des vendeurs de logiciels de surveillance commerciale. Le modèle ressemble à celui du ransomware : les outils d’attaque se louent ou se revendent à des acteurs moins sophistiqués. Des criminels sans compétences techniques propres peuvent ainsi mettre la main sur des outils conçus à l’origine pour des opérations d’espionnage d’État.

Apple n’est pas hors de cause, mais sa responsabilité doit être replacée dans son contexte. Un smartphone moderne est d’une complexité telle qu’il sera toujours possible d’y trouver des failles. Détecter en amont une chaîne d’attaque aussi sophistiquée dépasse les capacités préventives de n’importe quel éditeur. Sur la durée du support, Apple maintient des correctifs pour ses anciennes versions en parallèle du développement des nouvelles, ce que les experts jugent satisfaisant.

Entre le moment où une faille commence à être exploitée, celui où elle est découverte, celui où le correctif est publié, et celui où l’utilisateur installe effectivement la mise à jour, il peut se passer des mois. C’est dans cette fenêtre que les attaques font des dégâts. Dans le cas de DarkSword, plusieurs mois de campagnes actives ont précédé la divulgation publique.

Face à cette séquence inhabituelle, Apple a réagi de façon inhabituelle. La firme a publié des appels explicites à mettre à jour « dès que possible » et prépare un système d’alertes « Critical Security Update » plus visible que ses communications habituelles.

iPhone piraté : les gestes immédiats pour se protéger

La première chose à faire est simple : aller dans Réglages → Général → Mise à jour logicielle et installer la dernière version disponible. C’est la seule protection réellement efficace contre DarkSword. Être prudent sur les liens ou méfiant envers les pièces jointes ne sert à rien ici : l’attaque se déclenche sans aucune interaction.

Deux autres réflexes sont à conserver. Laisser les mises à jour automatiques activées, pour ne pas rester exposé entre deux vérifications manuelles. Ne pas désactiver les protections natives de Safari (navigation sécurisée et blocage de suivi avancé), qui filtrent déjà une partie des domaines utilisés dans les campagnes en cours.

Pour les profils les plus exposés (élus, dirigeants, journalistes, personnels de défense, membres d’ONG), un audit régulier par des solutions spécialisées reste la mesure complémentaire la plus sérieuse. Certains outils sont capables de détecter des traces d’intrusion sur la base d’analyses réseau ou système, même lorsque l’attaque a effacé ses traces visibles.

L'Essentiel de l'Éco est un média indépendant. Soutenez-nous en nous ajoutant à vos favoris Google Actualités :

Suivez-nous sur Google News

Publiez un commentaire

L'Essentiel de l'Éco

Télécharger sur l'App Store (iOS)
Télécharger sur Google Play

Partenariats / Publicité

Nos thématiques

Entreprises

Pratique

Nous contacter
Mentions légales
Cookies
Politique de confidentialité

La Rédaction

Qui sommes-nous ?
La rédaction
Proposer une tribune
Newsletter

Tous droits réservés - L’Essentiel de l’Éco 2026

Publier un commentaire