L'exploit kit DarkSword enchaîne trois CVE Apple pour déployer les spywares GHOSTBLADE, GHOSTKNIFE et GHOSTSABER. CISA exige le patch avant le 3 avril 2026.
En bref
- Trois CVE Apple (CVE-2025-31277, CVE-2025-43510, CVE-2025-43520) ajoutées au catalogue KEV de la CISA
- L'exploit kit DarkSword enchaîne ces failles pour déployer les spywares GHOSTBLADE, GHOSTKNIFE et GHOSTSABER
- Action requise : patcher iOS/macOS immédiatement, deadline CISA fixée au 3 avril 2026
Les faits
La CISA a ajouté fin mars 2026 cinq vulnérabilités à son catalogue Known Exploited Vulnerabilities (KEV), dont trois failles Apple exploitées activement dans le cadre d'un exploit kit baptisé DarkSword. L'analyse conjointe de Google Threat Intelligence Group (GTIG), iVerify et Lookout révèle une chaîne d'exploitation sophistiquée ciblant les appareils iOS. La CVE-2025-31277 (CVSS 8.8) est une corruption mémoire dans WebKit exploitable via du contenu web malveillant. Les CVE-2025-43510 (CVSS 7.8) et CVE-2025-43520 (CVSS 8.8) affectent le composant kernel d'Apple, permettant respectivement la modification de la mémoire partagée entre processus et l'écriture arbitraire en mémoire kernel.
DarkSword combine ces trois vulnérabilités avec trois autres failles non détaillées pour former une chaîne d'exploitation complète, allant de la compromission initiale via WebKit jusqu'à l'élévation de privilèges kernel. Les familles de malware déployées — GHOSTBLADE, GHOSTKNIFE et GHOSTSABER — sont des outils de vol de données ciblant les contacts, messages, données de géolocalisation et contenus chiffrés des appareils compromis. L'exploitation est attribuée à des éditeurs de logiciels espions commerciaux, selon les chercheurs de GTIG.
Impact et exposition
Tout appareil Apple sous iOS ou macOS n'ayant pas reçu les correctifs de juillet et décembre 2025 est vulnérable. Les cibles identifiées incluent des journalistes, des militants des droits humains et des dissidents politiques — le profil classique des victimes de spyware commercial. Cependant, la disponibilité d'un exploit kit complet signifie que d'autres acteurs pourraient l'acquérir ou le reproduire, élargissant potentiellement le spectre des victimes aux entreprises et administrations. La deadline CISA pour les agences fédérales américaines est fixée au 3 avril 2026.
Recommandations
- Mettre à jour immédiatement tous les appareils Apple vers les dernières versions d'iOS, iPadOS et macOS
- Activer le mode Lockdown (mode isolement) sur les appareils des utilisateurs à risque élevé (dirigeants, journalistes, avocats)
- Déployer une solution MDM pour vérifier la conformité des versions iOS/macOS dans votre parc
- Surveiller les indicateurs de compromission publiés par GTIG, iVerify et Lookout
Alerte critique
La deadline CISA est fixée au 3 avril 2026. Les agences fédérales et les organisations alignées sur les directives CISA doivent appliquer les correctifs immédiatement. L'exploit kit DarkSword est activement utilisé dans la nature.
Le mode Lockdown d'Apple protège-t-il contre DarkSword ?
Le mode Lockdown réduit significativement la surface d'attaque en désactivant de nombreuses fonctionnalités de WebKit exploitées par DarkSword. Bien qu'il ne garantisse pas une protection absolue, il constitue la meilleure défense disponible pour les utilisateurs à haut risque en attendant le déploiement des correctifs. Apple recommande son activation pour toute personne susceptible d'être ciblée par des attaques sophistiquées.
Comment vérifier si un appareil Apple a été compromis par DarkSword ?
Utilisez les outils de détection d'iVerify ou de Lookout, qui intègrent désormais les signatures spécifiques à GHOSTBLADE, GHOSTKNIFE et GHOSTSABER. Sur un appareil managé, vérifiez les profils de configuration inhabituels et les applications non répertoriées. L'analyse des logs de diagnostic Apple peut également révéler des crashs WebKit suspects correspondant aux patterns d'exploitation connus.
L'essentiel à retenir
DarkSword rappelle que l'écosystème Apple n'est pas à l'abri des chaînes d'exploitation sophistiquées. Le marché du spyware commercial continue de produire des outils capables de compromettre des appareils à jour. La combinaison mise à jour rapide + mode Lockdown + MDM reste la meilleure stratégie de défense pour les organisations exposées.
Votre infrastructure est-elle exposée ?
Ayi NEDJIMI réalise des audits de sécurité ciblés pour identifier et corriger vos vulnérabilités avant qu'elles ne soient exploitées.
Demander un auditÀ propos de l'auteur
Ayi NEDJIMI
Expert Cybersécurité Offensive & Intelligence Artificielle
Ayi NEDJIMI est consultant senior en cybersécurité offensive et intelligence artificielle, avec plus de 20 ans d'expérience sur des missions à haute criticité. Il dirige Ayi NEDJIMI Consultants, cabinet spécialisé dans le pentest d'infrastructures complexes, l'audit de sécurité et le développement de solutions IA sur mesure.
Ses interventions couvrent l'audit Active Directory et la compromission de domaines, le pentest cloud (AWS, Azure, GCP), la rétro-ingénierie de malwares, le forensics numérique et l'intégration d'IA générative (RAG, agents LLM, fine-tuning). Il accompagne des organisations de toutes tailles — des PME aux grands groupes du CAC 40 — dans leur stratégie de sécurisation.
Contributeur actif à la communauté cybersécurité, il publie régulièrement des analyses techniques, des guides méthodologiques et des outils open source. Ses travaux font référence dans les domaines du pentest AD, de la conformité (NIS2, DORA, RGPD) et de la sécurité des systèmes industriels (OT/ICS).
Ressources & Outils de l'auteur
Articles connexes
WhatsApp piégé : Microsoft alerte sur une campagne VBS avec bypass UAC
Microsoft alerte sur une campagne distribuant des scripts VBS malveillants via WhatsApp avec bypass UAC et payloads cloud. Chaîne d'infection sophistiquée active depuis février 2026.
TrueChaos : un APT chinois exploite TrueConf pour cibler des gouvernements
La campagne TrueChaos exploite une faille zero-day dans TrueConf (CVE-2026-3502) pour déployer le framework Havoc sur des réseaux gouvernementaux en Asie du Sud-Est. Attribution : acteur chinois.
Microsoft lance Copilot Wave 3 et Agent 365 pour l'ère agentique
Microsoft déploie Copilot Wave 3 avec des capacités agentiques dans Office et lance Agent 365, une plateforme de gouvernance des agents IA à 15 $/mois.
Commentaires (1)
Laisser un commentaire