Une simple visite sur un site web malveillant peut permettre à un attaquant de pirater votre iPhone ou votre iPad. Cette phrase résume à elle seule la menace DarkSword. Il est urgent de vous protéger : le code source de ce logiciel malveillant est disponible sur GitHub. Faisons le point sur cette menace.

Plusieurs centaines de millions d’appareils Apple, en particulier les iPhone et les tablettes iPad, sont vulnérables à DarkSword. Il s’agit d’un kit de cyberespionnage utilisé par plusieurs groupes, dont des espions russes, et qui se retrouve désormais entre les mains de tout le monde.

Ce qui est inquiétant avec DarkSword, c’est à la fois sa simplicité et sa dangerosité. L’exploitation repose sur du code HTML et du code JavaScript, qu’il faudra héberger sur un serveur. A contrario, si un utilisateur visite cette page avec un appareil vulnérable, cela peut mener à un accès complet en lecture et en écriture au niveau du noyau.

Pas besoin de télécharger quoi que ce soit, ni même d’exécuter un programme malveillant. Vous l’aurez compris, c’est bien plus direct : le chargement d’une page web malveillante suffit à déclencher l’exploit.

Mais alors, comment fonctionne DarkSword ?

Un exploit basé sur plusieurs failles de sécurité

Un rapport publié par les chercheurs en sécurité de Google Threat Intelligence permet d’en savoir plus sur le kit DarkSword. C’est aussi l’occasion de prendre connaissance des différences avec un autre outil d’espionnage nommé Coruna.

“DarkSword exploite six vulnérabilités différentes pour prendre le contrôle total d’un appareil iOS vulnérable et exécuter une charge utile finale avec tous les privilèges du noyau. Contrairement à Coruna, DarkSword ne prend en charge qu’un ensemble limité de versions d’iOS (18.4 à 18.7) et, bien que les différentes étapes de l’exploitation soient techniquement sophistiquées, les mécanismes utilisés pour charger les exploits étaient plus rudimentaires et moins robustes que ceux de Coruna.”, peut-on lire dans ce rapport.

DarkSword exploite un ensemble de failles de sécurité, dont certaines en tant que failles zero-day, pour contourner tour à tour les différentes couches de sécurité des OS Apple. Ainsi, les barrières sautent les unes après les autres, ce qui permet à l’attaquant d’obtenir un accès au plus profond du système.

Le schéma ci-dessous, réalisé par les chercheurs de Google, met en évidence la chaine d’infection de DarkSword. On peut voir les identifiants de CVE associés à chaque étape, et surtout, on peut voir que le chemin emprunté n’est pas le même en fonction de la version d’iOS de l’appareil.

Même si cette menace fait parler d’elle aujourd’hui, elle ne date pas d’hier. Les équipes de Google l’ont observée depuis novembre 2025, lorsqu’un premier groupe de cybercriminels (UNC6748) en a fait usage. Ce qui change la donne désormais, c’est le fait que n’importe qui puisse mettre la main sur DarkSword. Obligatoirement, d’autres groupes de pirates vont l’utiliser et c’est même probablement déjà le cas.

“Outre les études de cas sur l’utilisation de DarkSword présentées dans cet article de blog, nous estimons qu’il est probable que d’autres fournisseurs de solutions de surveillance commerciales ou acteurs malveillants utilisent également DarkSword.”, précise Google.

Quelles sont les cibles de DarkSword ?

Désormais, tout le monde peut devenir une cible. Mais, jusqu’ici, il y a eu différentes cibles et surtout au moins trois groupes de cybercriminels qui ont fait usage de DarkSword. “Début novembre 2025, GTIG a identifié le groupe de menaces UNC6748, qui exploitait un site web sur le thème de Snapchat, snapshare[.]chat, pour cibler des utilisateurs saoudiens”, précise le rapport de Google.

La lecture complète de ce rapport permet de comprendre qu’il y a les trois groupes suivants :

• UNC6748 : son origine demeure inconnue, mais sa zone de chasse s’est concentrée sur l’Arabie saoudite. Sa technique d’infection repose sur un faux site web imitant Snapchat. Ainsi, une simple visite de cette page permettait de déclencher silencieusement l’exploit zero-click sur l’iPhone, avant de rediriger la victime vers la véritable page Snapchat.

• PARS Defense : il s’agit d’un éditeur turc spécialisé dans la vente de logiciels espions à visée commerciale. Cette société a fait usage de DarkSword sur ses propres terres en Turquie, avant d’étendre ses opérations en Malaisie.

• UNC6353 : selon les chercheurs de l’équipe de Google, ce groupe de cyberespionnage serait lié aux services de renseignement russes. Leur mode opératoire s’appuie sur la technique du point d’eau : plutôt que de cibler directement les smartphones, ils ont compromis des sites web ukrainiens tout à fait légitimes pour piéger et infecter massivement leurs visiteurs.

Il est à noter que chaque groupe avait aussi pour habitude de déployer son propre malware suite à l’infection. À chaque fois la finalité reste la même, à savoir voler des données sur l’appareil compromis. Trois noms sont donnés :

• GhostBlade, un infostealer JavaScript
• GhostKnife, une porte dérobée pour l’exfiltration de données
• GhostSaber, un malware capable d’exécuter du code et de dérober des données

Comment se protéger de DarkSword ?

La réponse est simple : la sécurité face à DarkSword passe par une mise à jour de votre appareil. C’est ce qui permet de briser la chaine d’exploitation.

Si vous utilisez iOS 26.3, vous êtes protégé. Néanmoins, DarkSword est particulièrement redoutable sur les anciennes versions d’iOS. C’est pour cette raison que vous devez utiliser à minima iOS 18.7.3, une version disponible depuis le 12 décembre 2025.

À l’heure actuelle, plus de 200 millions d’appareils utiliseraient encore une version vulnérable. Ce chiffre peut semble énorme, mais n’oublions pas que le parc mondial d’Apple compte plus de 2,5 milliards d’appareils.

Mettez à jour votre iPhone, n’attendez pas.