Une boîte à outils sophistiquée de piratage d’iPhone, provenant potentiellement d’un sous-traitant du gouvernement américain, a été divulguée entre les mains d’espions russes et maintenant de cybercriminels. L’outil, surnommé « Coruna » par les chercheurs de Google, permet l’installation silencieuse de logiciels malveillants sur les iPhones simplement en visitant un site Web compromis. Il s’agit d’un exemple rare et alarmant de capacités de piratage avancées échappant au contrôle et réutilisées à des fins d’espionnage et de criminalité financière.
De l’espionnage parrainé par l’État au vol de cryptomonnaies
La boîte à outils a été observée pour la première fois en train d’être utilisée par des agents des services de renseignement russes soupçonnés de cibler des citoyens ukrainiens. Plus tard, il a refait surface dans une campagne purement axée sur le profit, infectant les sites de crypto-monnaie et de jeux de hasard en langue chinoise pour voler des fonds. Les experts en sécurité soupçonnent que le code sous-jacent pourrait avoir été initialement développé pour ou acquis par le gouvernement américain, ce qui soulève de sérieuses questions sur la sécurité des cyber-outils des États-nations.
Les capacités de Coruna : une collection rare d’exploits Zero-Day
Coruna exploite 23 vulnérabilités distinctes dans iOS, un nombre inhabituellement élevé suggérant sa création par une équipe de piratage bien financée et parrainée par l’État. Le rapport de Google révèle que la boîte à outils comprend cinq techniques de piratage complètes capables de contourner les défenses de l’iPhone sans interaction de l’utilisateur. Cela signifie que même les iPhones entièrement mis à jour et exécutant le logiciel le plus récent sont vulnérables s’ils visitent un site infecté.
Des preuves indiquent des origines américaines
Les chercheurs d’iVerify ont découvert des similitudes frappantes entre le code de Coruna et les opérations de piratage précédemment liées à l’Agence de sécurité nationale (NSA) américaine, en particulier la campagne « Triangulation » ciblant Kaspersky, une société russe de cybersécurité. La structure et la sophistication du code suggèrent un développeur unique et hautement professionnel – un niveau de finition rarement vu dans les opérations de piratage amateur.
« C’est le premier exemple que nous voyons d’outils très probables du gouvernement américain… échappant à tout contrôle et utilisés à la fois par nos adversaires et par des groupes cybercriminels », déclare Rocky Cole, co-fondateur d’iVerify.
Le moment EternalBlue pour mobile
La prolifération de Coruna est comparée à la fuite de « EternalBlue », un outil de piratage Windows développé par la NSA qui a été volé et utilisé dans des cyberattaques dévastatrices comme WannaCry et NotPetya. La disponibilité d’outils de piratage mobile aussi puissants pourrait conduire à une exploitation généralisée, en particulier parmi les anciennes versions d’iOS.
Atténuation et impact
Apple a corrigé les vulnérabilités exploitées par Coruna dans iOS 26, ce qui signifie que les appareils exécutant des versions antérieures (iOS 13 à 17.2.1) restent menacés. Cependant, l’existence de cette boîte à outils souligne une réalité dangereuse : même les appareils les plus sécurisés sont vulnérables lorsque des outils de piratage avancés tombent entre de mauvaises mains. Les premières estimations suggèrent que Coruna aurait déjà infecté des dizaines de milliers d’appareils, avec un potentiel de dégâts bien plus importants.
Le fait qu’un outil hautement sophistiqué développé par un acteur parrainé par l’État se soit infiltré dans l’écosystème criminel met en évidence les risques inhérents au marché des exploits Zero Day. Les courtiers vendant ces outils au plus offrant garantissent qu’ils finiront inévitablement entre les mains d’adversaires et de cybercriminels, rendant impossible leur confinement. Le génie, comme l’a dit un expert, est sorti de la bouteille.
