En bref

  • Apple élargit la disponibilité d'iOS 18.7.7 à davantage d'appareils pour bloquer l'exploit DarkSword, un kit d'attaque iOS utilisé par des acteurs étatiques.
  • DarkSword exploite 6 failles dont 3 zero-days pour prendre le contrôle total des iPhone et déployer le malware GHOSTBLADE.
  • Des groupes russes comme COLDRIVER et Star Blizzard utilisent activement ce kit contre des cibles gouvernementales et académiques.

Ce qui s'est passé

Apple a étendu le 1er avril 2026 la disponibilité de la mise à jour iOS 18.7.7 et iPadOS 18.7.7 à un éventail plus large d'appareils, incluant les iPhone XR, XS, 11, SE (2e et 3e génération), 12, 13, 14, 15, 16 et 16e, ainsi que de nombreux modèles d'iPad. Cette mise à jour corrige deux douzaines de vulnérabilités de sécurité et vise principalement à protéger les utilisateurs contre DarkSword, un kit d'exploitation iOS sophistiqué qui cible les versions 18.4 à 18.7 du système.

DarkSword utilise une chaîne de 6 vulnérabilités, dont trois zero-days (CVE-2026-20700, CVE-2025-43529 et CVE-2025-14174), pour obtenir un contrôle total sur l'appareil ciblé. L'attaque débute lorsqu'un utilisateur visite via Safari une page web contenant un iFrame avec du JavaScript malveillant. Le kit exploite ensuite WebGPU pour s'échapper du sandbox WebContent et injecter du code dans mediaplaybackd, un démon système gérant la lecture multimédia. Une fois cette étape franchie, le malware GHOSTBLADE est déployé : il accède aux processus privilégiés et aux zones restreintes du système de fichiers pour exfiltrer des données sensibles.

Selon les analyses de Google Threat Intelligence Group, iVerify et Lookout, DarkSword est utilisé par au moins deux groupes étatiques russes. Le groupe COLDRIVER (alias TA446) a été identifié comme déployant GHOSTBLADE contre des entités gouvernementales, des think tanks, des universités et des institutions financières. Le groupe Star Blizzard a également adopté le kit dans ses opérations. Des vendeurs de spywares commerciaux l'exploitent par ailleurs à des fins de surveillance ciblée.

Pourquoi c'est important

DarkSword représente l'une des chaînes d'exploitation iOS les plus avancées découvertes ces dernières années. Son utilisation par des acteurs étatiques et des fournisseurs de spywares commerciaux illustre la convergence croissante entre les outils offensifs gouvernementaux et le marché gris de la surveillance. Le fait qu'Apple doive étendre les correctifs à des appareils plus anciens montre l'ampleur de la surface d'attaque et le risque pour les utilisateurs qui tardent à mettre à jour leurs appareils.

Pour les entreprises, cette menace souligne l'importance d'une politique stricte de gestion des mises à jour sur les flottes mobiles, en particulier pour les collaborateurs exposés à des risques d'espionnage étatique : dirigeants, diplomates, chercheurs et journalistes. Le mode Lockdown d'Apple, conçu pour les utilisateurs à haut risque, offre une couche de protection supplémentaire contre ce type d'attaques.

Ce qu'il faut retenir

  • Mettre à jour immédiatement tous les iPhone et iPad vers iOS/iPadOS 18.7.7 pour bloquer la chaîne d'exploitation DarkSword.
  • Activer le mode Lockdown sur les appareils des collaborateurs exposés à des risques d'espionnage ciblé.
  • Déployer une solution MDM imposant les mises à jour de sécurité critiques et surveillant les indicateurs de compromission sur la flotte mobile.

Comment activer le mode Lockdown d'Apple pour se protéger de DarkSword ?

Sur iPhone, accédez à Réglages, puis Confidentialité et sécurité, et sélectionnez Mode Lockdown. Ce mode restreint certaines fonctionnalités comme les pièces jointes dans Messages, les technologies web complexes dans Safari et les connexions filaires. Il est conçu pour les personnes susceptibles d'être ciblées par des attaques sophistiquées et réduit considérablement la surface d'attaque exploitée par des kits comme DarkSword.

Besoin d'un accompagnement expert ?

Ayi NEDJIMI vous accompagne sur vos projets cybersécurité et IA.

Prendre contact