Mobile, Actualités

Une menace plane sur les iPhone non mis à jour

par Pieter Arntz | 19 mars 2026
DarkSword iOS

Des chercheurs de Google ont identifié une chaîne iOS , baptisée DarkSword, qui est utilisée depuis la fin de l'année dernière par plusieurs acteurs pour infecter des iPhone avec des logiciels malveillants dans le cadre d'attaques ciblées.

DarkSword exploite six failles de sécurité dans iOS Safari pour installer un logiciel malveillant sur l'appareil. Cela montre, une fois de plus, à quel point il est important de rester à jour.

Cette faille de sécurité affecte les iPhone équipés iOS 18.4 à 18.7 ; il suffit de consulter un site web malveillant ou compromis avec un appareil vulnérable pour être infecté (attaque de type « drive-by »).

Les chercheurs ont découvert que plusieurs groupes utilisaient cet outil pour attaquer leurs cibles privilégiées. DarkSword a été utilisé tant par des fournisseurs commerciaux de logiciels espions que par des acteurs soutenus par des États, des campagnes ayant été observées en Arabie saoudite, en Turquie, en Malaisie et en Ukraine.

En Arabie saoudite, des pirates ont utilisé une fausse application ressemblant à Snapchat. En Ukraine, des pirates ont compromis au moins deux sites web ukrainiens, dont un site gouvernemental.

Une fois l'exploitation réussie, un logiciel malveillant est exécuté sur l'appareil. Le type de logiciel malveillant dépend de l'attaquant. Dans le cadre de la campagne ukrainienne, ce logiciel malveillant est connu sous le nom de Ghostblade ; il s'agit d'un exemple de charge utile diffusée via la chaîne d'exploitation DarkSword.

Ghostblade est un programme de vol de données basé sur JavaScript qui exfiltre les identifiants uniques des appareils, les SMS et les messages iMessage, l'historique des appels, les contacts, la configuration Wi-Fi et les mots de passe, les cookies et l'historique de navigation de Safari, les données de localisation, les notes, les entrées de calendrier, les données de santé, les photos, les fichiers iCloud Drive, les informations de la carte SIM, les e-mails, la liste des applications installées, les mots de passe enregistrés, ainsi que l'historique des messages de Telegram et WhatsApp.

Au-delà de cela, Ghostblade se distingue par le fait qu’il cible également les données liées aux cryptomonnaies, recherchant activement les applications des principales plateformes d’échange (Coinbase, Binance, Kraken, Kucoin, OKX, Mexc) et les applications de portefeuille (Ledger, Trezor, Metamask, Exodus, Uniswap, Phantom, Gnosis Safe). Les chercheurs notent que Ghostblade n'est pas conçu pour une surveillance à long terme : une fois les données collectées, il supprime ses fichiers temporaires et s'autodétruit.

Les risques

Il suffit de consulter un seul site web malveillant ou compromis pour qu'un appareil vulnérable soit infecté. Et les conséquences peuvent être graves. DarkSword transforme une simple visite sur un site web en une compromission totale de l'appareil, après quoi Ghostblade exfiltre autant de données que possible en une seule fois.

  • Vol de données: Ghostblade et les charges utiles associées peuvent récupérer d'un seul coup les communications (SMS, iMessage, Telegram, WhatsApp, e-mails), les photos, les données de santé, l'historique de localisation, les identifiants Wi-Fi, les éléments du trousseau et bien plus encore.
  • Vol de cryptomonnaies et profilage: le logiciel malveillant recense certaines applications de plateformes d'échange et de portefeuilles, ce qui permet à la fois un vol direct et donne aux criminels la possibilité d'utiliser les informations dérobées pour établir un profil détaillé de cibles présentant un intérêt financier.
  • Contournement des mesures de sécurité informatique: comme Ghostblade efface ses propres traces après avoir volé toutes ces informations, les victimes peuvent mettre longtemps à se rendre compte que quelque chose ne va pas. Beaucoup d'entre elles risquent de ne jamais savoir qu'elles ont été piratées.

Étant donné que ce même kit d'exploitation est réutilisé tant par des entreprises de surveillance commerciales que par des acteurs liés à des États, le nombre de campagnes et de victimes ne cessera d'augmenter avec le temps.

Les solutions

Mettez à jour votre appareil avec la dernière version iOS . DarkSword peut affecter iOS 18.4 à 18.7, et les dernières mises à jour d'Apple incluent des correctifs pour la faille CVE-2026-20700 et les vulnérabilités associées.

Si vous avez des raisons de penser que vous pourriez être la cible d'attaques de ce type (journalistes, militants ou personnes ayant accès à des données sensibles), il est conseillé d'activerle mode de verrouillage:

  1. Ouvrez l'application Réglages.
  2. Appuyez sur « Privacy sécurité ».
  3. Faites défiler vers le bas, appuyez sur « Mode verrouillé », puis appuyez sur « Activer le mode verrouillé ».
  4. Lisez les informations affichées, puis appuyez sur « Activer le mode verrouillage ».
  5. Appuyez sur « Activer et redémarrer ».
  6. Saisissez le code d'accès de votre appareil lorsque vous y êtes invité.

Renseignez-vous bien sur les conséquences de l'activation du mode de verrouillage. Cela rend votre appareil beaucoup moins convivial, mais cette mesure s'est avérée efficace contre les attaques très ciblées.

Voici quelques conseils supplémentaires :

  • Utilisez une protection anti-malware à jour et en temps réel pour votre appareil afin de bloquer, dans la mesure du possible, les sites web malveillants.
  • Évitez de cliquer sur les liens contenus dans les messages non sollicités, en particulier ceux concernant des services tels que Snapchat, les plateformes d'échange de cryptomonnaies, les services bancaires ou la messagerie électronique.
  • Utilisez des bloqueurs de contenu (par exemple Malwarebytes Browser Guard) dans Safari pour réduire l'exposition aux contenus malveillants (même s'ils ne constituent pas une solution miracle contre les failles « zero-day »).
  • Transférez vos crypto-actifs de grande valeur vers des portefeuilles matériels ou des appareils dédiés, et n'utilisez les portefeuilles mobiles que pour les petits montants.
  • Utilisez un gestionnaire de mots de passe doté d'une authentification forte, activez les paramètres de sécurité supplémentaires tels que Face ID/Touch ID et évitez le remplissage automatique des identifiants à haut risque.
  • Activezl'authentification multifactorielle (clés de sécurité FIDO2 ou authentification à deux facteurs via une application) sur les plateformes d'échange et vos comptes financiers, afin que le vol de mots de passe ne suffise pas à lui seul à vider vos comptes.
  • Vérifiez régulièrement les autorisations des applications et retirez l'accès aux données sensibles (localisation, photos, contacts, microphone, appareil photo, données de santé) lorsque cela n'est pas nécessaire.

Nous ne nous contentons pas d'informer sur la sécurité des téléphones, nous la fournissons.

Les risques de cybersécurité ne devraient jamais se propager au-delà d'un titre. Éloignez les menaces de vos appareils mobiles en téléchargeant dès aujourd'hui Malwarebytes pour iOS et Malwarebytes pour Android.

À propos de l'auteur

Pieter Arntz

Pieter Arntz

Chercheur en intelligence malveillante

A été un Microsoft MVP dans le domaine de la sécurité des consommateurs pendant 12 années consécutives. Parle quatre langues. Sente l'acajou et les livres reliés en cuir.

DERNIERS ARTICLES

Confidentialité
Escroqueries fiscales sur le dark web

Vos déclarations fiscales se vendent 20 dollars sur le dark web

Mars 19, 2026

La période des déclarations fiscales est également la haute saison pour l'usurpation d'identité. Malwarebytes ont repéré des criminels qui échangeaient des dossiers fiscaux volés sur des forums du dark web.

AI
Caché

Des chercheurs ont découvert une astuce de rendu des polices permettant de dissimuler des commandes malveillantes

Mars 18, 2026

Des chercheurs ont découvert un moyen de tromper les assistants IA afin qu'ils ignorent les consignes de sécurité sur un site web.

Insectes
Pomme

Apple corrige un bug de WebKit qui aurait pu permettre à certains sites d'accéder à vos données

Mars 18, 2026

Apple a publié une mise à jour de sécurité en arrière-plan qui corrige discrètement une vulnérabilité de WebKit (CVE-2026-20643).

Icône des contributeurs

Les contributeurs

Icône du centre des menaces

Centre des menaces

Icône Podcasts

Podcast

Icône de glossaire

Glossaire

Icône d'escroquerie

Escroqueries