DarkSword : combien d’iPhones restent vulnérables ce soir ?

Selon Numerama, il suffit de visiter un site web. Pas besoin de cliquer sur une pièce jointe suspecte, pas besoin de télécharger quoi que ce soit. Une simple visite, et l’iPhone est compromis. C’est le principe de l’attaque par simple visite (ou drive-by), et c’est précisément ce que permet DarkSword, un kit d’exploitation iOS documenté par Lookout Threat Labs dans un rapport publié le 18 mars 2026, en collaboration avec le Google Threat Intelligence Group (GTIG) et iVerify.

Six failles enchaînées, un iPhone entièrement ouvert

Selon netcost-security.fr, DarkSword exploite six vulnérabilités identifiées : CVE-2025-31277, CVE-2025-43529, CVE-2026-20700, CVE-2025-14174, CVE-2025-43510 et CVE-2025-43520, ciblant les iPhones sous iOS 18.4 à 18.7 selon netcost-security.fr et 01net Les Numériques indiquant pour sa part une fourchette s’arrêtant à iOS 18.6.2. La chaîne d’exploitation commence dans Safari : une faille dans le moteur JavaScript du navigateur permet d’exécuter du code arbitraire, avant que trois autres vulnérabilités ne soient utilisées pour escalader progressivement les niveaux de privilèges jusqu’au noyau du système, selon Numerama. Fait notable : DarkSword est entièrement écrit en JavaScript, ce qui lui permettrait de contourner certaines protections matérielles d’Apple bloquant l’exécution de code non signé.

Une fois l’appareil compromis, trois variantes de malware peuvent être déposées, selon Numerama : GHOSTKNIFE, capable d’aspirer les messages, la localisation et l’audio en temps réel ; GHOSTSABER, qui interroge les bases de données internes de l’iPhone à distance ; et GHOSTBLADE, orienté aspiration massive, des mots de passe Wi-Fi aux portefeuilles de cryptomonnaies en passant par les photos et les données de santé. Bref, la totalité de ce qu’un iPhone contient de sensible. Le kit efface ensuite ses traces en supprimant les journaux système, selon Numerama, ainsi que les fichiers temporaires, selon netcost-security.fr, ce qui indique une conception pour des opérations ponctuelles plutôt qu’une surveillance longue durée.

Quatre mois d’activité, trois clients, un marché qui s’élargit

Selon Numerama et 01net, DarkSword aurait été actif dès novembre 2025, soit quatre mois avant sa divulgation publique le 18 mars 2026. Entre ces deux dates, le kit aurait été utilisé par au moins trois acteurs distincts aux profils et aux cibles radicalement différents, selon Numerama. Il ressort que le groupe associé à DarkSword, suivi sous le nom UNC6353, serait déjà lié au kit Coruna, selon netcost-security.fr.

Lookout, dans son rapport, qualifie l’outil sans ambiguïté : « Ce malware est hautement sophistiqué et semble être une plateforme conçue de manière professionnelle, permettant le développement rapide de modules grâce à l’accès à un langage de programmation avancé. » Selon netcost-security.fr, des outils de modèles de langage (LLM) auraient été détectés dans le développement du kit, ce qui, selon les chercheurs eux-mêmes, ne signifie pas que le malware est un produit généré par IA : c’est un outil professionnel qui utilise l’IA pour s’étendre plus vite. La nuance est importante. Selon 01net, Lookout estime par ailleurs que DarkSword serait utilisé par un acteur de menace russe poursuivant des objectifs financiers tout en menant des opérations d’espionnage, bien que l’attribution reste incomplète dans les sources disponibles.

Combien d’iPhones sont encore exposés ce soir ?

Apple a corrigé l’ensemble des failles exploitées par DarkSword dans ses dernières mises à jour iOS, Numerama précise la version iOS 26.3, ou au minimum iOS 18.7.3, tandis que les autres sources évoquent simplement iOS 26 ou les dernières mises à jour disponibles. La mise à jour suffit à briser la chaîne d’exploitation. Le problème, c’est que tout le monde ne l’a pas installée.

Selon Les Numériques, environ 24 % des appareils iOS tournent encore sous iOS 18, d’après les statistiques Apple destinées aux développeurs. Un calcul rapide montre ce que cela implique : si l’on retient le chiffre de 270 millions d’iPhones potentiellement exposés cité par 01net, et le taux de 24 % d’appareils n’ayant pas migré vers la dernière mise à jour majeure selon Les Numériques, ce sont environ 65 millions d’appareils qui resteraient non patchés à l’heure de publication. Ce chiffre n’a été calculé par aucun des médias ayant couvert l’affaire. La question se pose donc : combien d’utilisateurs pensent être protégés parce qu’ils ont installé une mise à jour mineure, sans avoir franchi le pas vers iOS 26 ?

On ignore encore comment les sites web légitimes ont été compromis pour servir les iframes malveillants déclenchant l’infection, selon netcost-security.fr. On ignore aussi le nombre exact de victimes confirmées, leur répartition géographique précise, et le prix auquel DarkSword circulerait sur un éventuel marché secondaire. Reste à savoir si l’attribution à UNC6353, que Lookout relie à des intérêts russes, est partagée par Google GTIG et iVerify, ou si elle constitue une lecture divergente : les sources disponibles ne permettent pas de trancher. Ce silence sur l’attribution, dans un dossier de cette ampleur, interroge.