En bref

  • DarkSword est un exploit kit iOS enchânant 6 failles dont 3 zero-days pour compromettre des iPhones à distance via un simple lien Safari.
  • Trois groupes distincts ont exploité la chaîne : des acteurs liés à la Russie, à l’Arabie Saoudite et à un fournisseur commercial turc.
  • Apple n’avait pas encore publié de correctif au moment de la divulgation — les utilisateurs iOS 18.4 à 18.7 doivent éviter tout lien non sollicité et surveiller les apps inconnues.

Un exploit kit iOS inédit enchâne six vulnérabilités sans interaction utilisateur

Les chercheurs de Google GTIG, iVerify et Lookout ont révélé DarkSword, un exploit kit ciblant iOS 18.4 à 18.7 qui combine six vulnérabilités en une chaîne d’exploitation complète. Parmi elles, trois zero-days — dont CVE-2026-20700 avec un score CVSS de 9,8 — permettent de briser le sandbox WebContent du navigateur Safari sans aucune interaction utilisateur au-delà d’un simple clic sur un lien. Le daemon système mediaplaybackd est ensuite détourné pour déployer le malware GHOSTBLADE en mémoire.

GHOSTBLADE opère en silence et exfiltre massivement : emails, SMS, données iCloud, mots de passe enregistrés, cookies de session, historique de navigation, données de wallets crypto, localisation GPS, photos, contacts, agenda, notes et données de santé. Trois acteurs distincts ont utilisé cette même chaîne d’exploit : UNC6353, lié au renseignement russe et ciblant des personnalités ukrainiennes ; UNC6748, actif en Arabie Saoudite contre des cibles gouvernementales ; et PARS Defense, un fournisseur commercial turc de solutions de surveillance. Le rapport conjoint, coordonné avec Apple avant publication, a été diffusé le 18 mars 2026. Au moment de la divulgation, aucun patch n’était disponible pour les versions iOS concernées.

Le vecteur d’attaque dit « watering hole » consiste à placer des liens piégés sur des sites légitimes fréquentés par les cibles. La victime ne voit qu’un lien ordinaire — aucun comportement suspect ne trahit la compromission, qui s’effectue intégralement en arrière-plan en quelques secondes.

Pourquoi DarkSword marque un tournant dans la surveillance mobile offensive

C’est la première fois qu’un exploit kit iOS multi-acteurs documente l’enchânement simultané de trois zero-days pour atteindre une compromission totale, sans jailbreak et sans interaction de la victime. La nature multi-acteurs de DarkSword confirme une tendance inquiétante : les techniques offensives iOS se commercialisent et s’exportent entre groupes étatiques et fournisseurs privés de surveillance. Pour les entreprises dont les dirigeants, juristes ou équipes RH utilisent des iPhones pour des communications sensibles, le risque de compromission silencieuse est désormais documenté et réel. Les solutions de détection mobile (MTD) deviennent incontournables pour les flottes d’appareils iOS d’entreprise.

Ce qu’il faut retenir

  • Mettre à jour iOS dès qu’Apple publie le correctif — surveiller activement les bulletins de sécurité Apple.
  • Ne pas cliquer sur des liens reçus par email, SMS ou messagerie d’expéditeurs inconnus, même si le message paraît légitime.
  • Les organisations traitant des données sensibles doivent déployer des solutions de détection mobile (MTD) sur leurs terminaux iOS managés.

Comment savoir si mon iPhone a été compromis par DarkSword ?

La compromission par DarkSword est conçue pour être totalement silencieuse. Des outils comme iVerify (disponible sur l’App Store) peuvent détecter certains indicateurs de compromission iOS. En cas de doute, une réinitialisation d’usine et une restauration depuis un backup antérieur à l’incident restent la mesure la plus sûre avant de recontacter votre équipe sécurité.

Besoin d’un accompagnement expert ?

Ayi NEDJIMI vous accompagne sur vos projets cybersécurité et IA.

Prendre contact