La faille iOS DarkSword expose 221 millions d'iPhone au risque de vol de cryptomonnaies

Edgen Crypto·Mar 20 2026, 16:12

Partager sur

Partager sur

Copier le lien

Points Clés

Une nouvelle chaîne d'exploitation iOS découverte, "DarkSword", est utilisée par des acteurs étatiques et des fournisseurs commerciaux pour voler des données sensibles, avec un accent particulier sur les portefeuilles et échanges de cryptomonnaies. Cette exploitation affecte des millions d'iPhone non corrigés exécutant des versions spécifiques d'iOS 18, soulignant des risques de sécurité importants pour les investisseurs qui gèrent des actifs numériques sur des appareils mobiles.

Une nouvelle chaîne d'exploitation appelée 'DarkSword' cible les versions iOS 18.4 à 18.7, affectant potentiellement plus de 221 millions d'appareils.
Le logiciel malveillant recherche spécifiquement les données provenant des principaux portefeuilles et échanges de cryptomonnaies, y compris MetaMask, Ledger, Coinbase et Binance.
L'exploitation est déployée depuis au moins novembre 2025 par divers acteurs malveillants, signalant un marché commercial croissant pour les outils d'attaque mobile sophistiqués.

L'exploit DarkSword met 221 millions d'iPhone en danger

Le groupe Google Threat Intelligence, en collaboration avec les sociétés de sécurité iVerify et Lookout, a identifié un kit d'exploitation iOS sophistiqué nommé 'DarkSword', actif depuis au moins novembre 2025. La chaîne d'exploitation exploite six vulnérabilités distinctes, dont trois zero-days jusqu'alors inconnus, pour accorder aux attaquants un contrôle total de l'appareil. Elle cible une gamme spécifique d'appareils Apple exécutant les versions iOS 18.4 à 18.7. Les analystes en sécurité estiment que cette vulnérabilité expose jusqu'à 221,5 millions d'appareils, soit 14,2 % de tous les utilisateurs d'iPhone, au vol de données.

Les portefeuilles et échanges de cryptomonnaies deviennent des cibles privilégiées

La charge utile principale délivrée par DarkSword est une variante de malware appelée 'GHOSTBLADE', explicitement conçue pour extraire des données financières. Le malware recherche et vole systématiquement des informations provenant d'un large éventail d'applications de cryptomonnaies populaires. Les échanges ciblés comprennent Coinbase, Binance, Kraken et OKX, tandis que les portefeuilles tels que MetaMask, Ledger, Trezor et Phantom figurent également sur la liste. L'attaque fonctionne selon une méthode rapide de 'frappe et fuite', exfiltrant les identifiants et autres informations sensibles en quelques minutes après l'infection avant d'effacer ses propres traces. Ce comportement indique une motivation financière claire, privilégiant le vol rapide d'actifs plutôt que la surveillance à long terme.

La prolifération des exploits défie la sécurité mobile

DarkSword est le deuxième kit d'exploitation de masse pour iOS découvert en un mois, après le kit 'Coruna'. Son utilisation par divers groupes — de l'acteur étatique russe présumé UNC6353 dans des attaques contre l'Ukraine à des fournisseurs de surveillance commerciale ciblant des utilisateurs en Arabie Saoudite et en Turquie — démontre une prolifération inquiétante des cyberarmes de haute technologie. La disponibilité de ces outils sur un marché secondaire abaisse la barrière pour les groupes bien financés mais techniquement moins sophistiqués afin d'exécuter des attaques complexes. Cette tendance pose un risque systémique pour l'écosystème mobile, obligeant les investisseurs à reconsidérer la sécurité de la gestion des actifs via des plateformes mobiles prioritaires.