DarkSword : le kit d'exploit iOS a fuité sur GitHub, tout le monde peut pirater des iPhone

Quand un outil de cyberespionnage se retrouve en libre-service sur GitHub, c'est rarement bon signe. La semaine dernière, des chercheurs en cybersécurité découvraient DarkSword, un kit d'exploitation avancé utilisé par des espions russes contre des cibles ukrainiennes.

En ce début de semaine, une version mise à jour du kit s’est retrouvée directement publiée sur GitHub. Et d'après les experts, n'importe quel attaquant un minimum dégourdi peut s'en servir.

Ctrl+C, Ctrl-V, et paf t'es hacké

Matthias Frielingsdorf, cofondateur d'iVerify (sécurité mobile), ne mâche pas ses mots : selon lui, ces outils sont beaucoup trop faciles à réutiliser, impossibles à contenir, et ce n'est qu'une question de temps avant que des criminels ne s'en emparent.

Le contenu du leak est presque insultant de simplicité : du HTML et du JavaScript. Pas de binaire compilé, pas de chaîne d'outils complexe.

Frielingsdorf estime que n'importe qui peut copier-coller ces fichiers et les héberger sur un serveur en quelques minutes à quelques heures. Aucune expertise iOS n'est nécessaire, les exploits fonctionnent directement. Google, qui avait déjà analysé DarkSword, a confirmé cette évaluation.

Un expert en sécurité connu sous le pseudo matteyeux a d'ailleurs prouvé le propos en obtenant un accès kernel complet (lecture et écriture) sur un iPad mini 6e génération sous iPadOS 18.6.2, à partir de l'échantillon DarkSword qui circule en ligne. Il a publié la démonstration sur X ce lundi.

Six failles, trois zero-day, zéro pitié

Concrètement, DarkSword chaîne six vulnérabilités iOS pour prendre le contrôle complet d'un iPhone.

Trois d'entre elles étaient des zero-day au moment de leur exploitation, les trois autres complètent la chaîne en permettant l'exécution de code initiale et l'escalade de privilèges jusqu'au noyau.

Le vecteur d'attaque : une simple page web piégée dans Safari, ou un navigateur intégré. Une fois le code exécuté, le kit aspire les contacts, les SMS, l'historique d'appels et les mots de passe stockés dans le trousseau iOS, puis envoie le tout vers un serveur distant.

Une fois le méfait accompli, le kit nettoie ses fichiers temporaires et s'efface, une approche “hit-and-run” typique des opérations de surveillance furtives.

D'après les commentaires retrouvés dans le code source (les développeurs de DarkSword commentent proprement leurs exploits, c'est beau), le payload "lit et exfiltre les fichiers sensibles depuis les appareils iOS via HTTP". En clair, tout ce qui a de la valeur sur votre iPhone est aspiré et envoyé vers un serveur contrôlé par l'attaquant.

Espions russes et surveillance turque

DarkSword n'est pas l'œuvre d'un script kiddie solitaire. Trois groupes distincts l'ont déployé dans des attaques distinctes depuis novembre 2025.

Le premier, un groupe d'espionnage présumé russe (traqué sous le nom UNC6353), a ciblé des utilisateurs ukrainiens via des sites web compromis (e-commerce, équipements industriels, services locaux...).

Le second a ciblé des utilisateurs en Arabie Saoudite via un faux domaine imitant Snapchat. Sa variante, GhostKnife, est particulièrement agressive : en plus de l'exfiltration de données classique, elle peut activer le micro de l'appareil pour enregistrer de l'audio à distance.

Le troisième acteur est PARS Defense, un vendeur turc de solutions de surveillance commerciale dont les clients ont visé des cibles en Turquie et en Malaisie. Chaque groupe a déployé sa propre variante de malware, mais le résultat était le même : des données aspirées vers un serveur distant.

Chaque groupe déployait sa propre variante de malware : GhostBlade, un infostealer JavaScript agressif ; GhostKnife, une backdoor d'exfiltration massive ; ou GhostSaber, qui exécute du code et vole les données. Trois noms, un même résultat : vos données sur un serveur distant.

C'est d'ailleurs le deuxième kit d'exploitation iOS découvert en l'espace d'un mois, après Coruna, développé à l'origine par le sous-traitant militaire américain L3Harris pour le compte du gouvernement US et de ses alliés.

Cet autre outil a été volé par un ancien cadre australien de l'entreprise, Peter Williams, qui l'a revendu (en cryptos) à Operation Zero, un courtier russe en zero-day. Williams a écopé de 87 mois de prison fédérale en février dernier.

Le moins qu’on puisse dire, c’est que le marché du spyware iOS a le vent en poupe.

La CISA tire la sonnette d'alarme

Vendredi dernier, la CISA (l'agence américaine de cybersécurité et de sécurité des infrastructures, équivalent de notre ANSSI, mais aux États-Unis) a ajouté les failles DarkSword à son catalogue de vulnérabilités activement exploitées.

Les agences fédérales américaines ont jusqu'au 3 avril pour patcher leurs appareils et/ou les retirer du service.

Selon les chiffres d'Apple, environ un quart des iPhone et iPad actifs tournent encore sous iOS 18 ou antérieur. Sur un parc de plus de 2,5 milliards d'appareils actifs, ça représente plusieurs centaines de millions de cibles.

Apple a publié des mises à jour d'urgence le 11 mars pour les appareils qui ne peuvent pas passer à iOS 26, et rappelle que le mode Isolement (Lockdown Mode) bloque également ces attaques spécifiques.

Le message est assez clair : mettez à jour votre iPhone. Maintenant.

Pas demain, pas ce week-end, pas "quand vous aurez le temps". Parce qu'un kit d'exploit qui était réservé aux services de renseignement il y a encore une semaine est désormais à la portée de n'importe quel individu mal intentionné avec un hébergeur web et dix minutes devant lui.