Dans l’imaginaire collectif, l’iPhone est souvent perçu comme l’un des appareils les plus sûrs du monde numérique. Apple ne manque d’ailleurs jamais de rappeler que son système d’exploitation, iOS, est conçu autour d’un modèle de sécurité extrêmement strict. Pourtant, l’histoire récente de la cybersécurité rappelle régulièrement une vérité simple : aucune technologie n’est totalement invulnérable.
Une nouvelle affaire révélée par des chercheurs en sécurité vient illustrer ce constat avec une intensité rare. Un puissant kit de piratage baptisé Coruna, capable de compromettre un iPhone simplement lorsque son utilisateur visite un site web piégé, circule désormais entre plusieurs acteurs — espions, cybercriminels et potentiellement des intermédiaires du marché des exploits informatiques.
Cette situation inquiète profondément les experts, car elle rappelle un précédent historique : lorsque des outils de cyberattaque conçus pour des opérations de renseignement se retrouvent soudainement entre les mains d’acteurs incontrôlables.
Un outil capable de prendre le contrôle d’un iPhone en visitant une simple page web
Les chercheurs en cybersécurité de Google ont récemment publié un rapport détaillant les capacités de Coruna. Selon leurs analyses, ce toolkit comprend cinq chaînes complètes d’exploitation, capables de contourner les protections d’iOS et d’installer silencieusement un logiciel malveillant sur un appareil.
Le mécanisme est particulièrement inquiétant :
il suffit qu’un utilisateur visite un site web contenant le code d’exploitation pour que son téléphone puisse être compromis, sans téléchargement ni interaction particulière.
Dans l’ensemble, 23 vulnérabilités distinctes d’iOS ont été exploitées dans cet arsenal numérique. Un tel niveau de sophistication suggère presque nécessairement le travail d’une organisation disposant de ressources considérables — généralement des acteurs étatiques ou des entreprises spécialisées dans la surveillance numérique.
La majorité des attaques identifiées ciblait des appareils fonctionnant sous iOS 13 jusqu’à iOS 17.2.1. Apple indique avoir corrigé ces vulnérabilités dans les versions récentes de son système, notamment iOS 26.
Une trajectoire étrange : espionnage, guerre et cybercrime
L’aspect le plus troublant de l’affaire n’est pas seulement la puissance technique de Coruna, mais son parcours inattendu entre différents acteurs.
Selon les analyses de Google, les premières traces du code remontent à une opération observée en février de l’année précédente. Cette attaque était attribuée à un client d’une société spécialisée dans la surveillance numérique.
Quelques mois plus tard, une version plus avancée du toolkit apparaît dans une campagne d’espionnage soupçonnée d’être menée par un groupe lié au renseignement russe, ciblant des utilisateurs ukrainiens. Le code malveillant était alors dissimulé dans un composant banal de comptage de visiteurs intégré à certains sites web ukrainiens.
Mais l’histoire ne s’arrête pas là.
Les chercheurs ont ensuite retrouvé Coruna dans une campagne criminelle visant des sites en langue chinoise liés aux cryptomonnaies et aux jeux d’argent. Dans cette version, le malware installé sur les iPhones infectés avait pour objectif principal de :
voler des cryptomonnaies stockées dans des portefeuilles numériques récupérer des photos accéder à certains courriels
Les analystes estiment que près de 42 000 appareils auraient déjà été compromis lors de cette seule campagne criminelle.
Un outil peut-être lié aux services américains
L’origine exacte de Coruna reste incertaine, mais certains indices techniques intriguent les chercheurs.
La société de sécurité mobile iVerify, qui a également étudié ce toolkit, estime que certains modules du code présentent des similitudes avec des composants utilisés dans l’opération de piratage appelée Operation Triangulation. Cette campagne, découverte en 2023 et visant notamment l’entreprise russe Kaspersky, avait été attribuée par Moscou à la NSA, l’agence de renseignement américaine.
Le gouvernement américain n’a jamais confirmé ces accusations.
Cependant, plusieurs éléments alimentent les spéculations :
le code semble avoir été écrit par des développeurs anglophones son architecture est extrêmement professionnelle et modulaire son développement aurait coûté plusieurs millions de dollars
Selon certains experts, ces caractéristiques correspondent au type d’outils développés dans les programmes de cyberespionnage gouvernementaux.
Le risque d’un nouvel “EternalBlue”
Pour les spécialistes de la cybersécurité, la situation évoque un précédent célèbre : EternalBlue.
Cet outil de piratage développé par la NSA avait été volé et rendu public en 2017. Il fut ensuite utilisé dans certaines des attaques informatiques les plus dévastatrices de l’histoire, notamment les cyberattaques WannaCry et NotPetya.
Si Coruna suit une trajectoire similaire, les conséquences pourraient être considérables.
Les chercheurs estiment que le marché clandestin des “zero-day” des vulnérabilités inconnues des fabricants joue un rôle clé dans cette prolifération. Des courtiers spécialisés achètent ces failles pour plusieurs millions de dollars, puis les revendent à différents clients, parfois sans exclusivité.
Dans ce système opaque, un outil peut rapidement passer :
d’un gouvernement → à un intermédiaire → puis à des groupes criminels.
Une menace sérieuse, mais pas incontrôlable
Malgré l’ampleur de cette affaire, les experts rappellent que plusieurs protections existent déjà.
Les vulnérabilités exploitées par Coruna ont été corrigées dans les versions récentes d’iOS. Les utilisateurs qui mettent régulièrement à jour leur appareil réduisent donc fortement leur exposition au risque.
De plus, Apple propose une fonctionnalité de sécurité avancée appelée Lockdown Mode, conçue pour les personnes susceptibles d’être ciblées par des attaques sophistiquées. Le toolkit Coruna vérifie d’ailleurs si ce mode est activé et renonce à l’attaque dans ce cas.
Ces éléments rappellent un principe fondamental de la cybersécurité : la technologie seule ne suffit jamais, la vigilance des utilisateurs reste essentielle.
Une leçon sur la nature des armes numériques
L’affaire Coruna met en lumière un phénomène désormais bien connu des spécialistes : les cyberarmes développées pour le renseignement ou la guerre numérique finissent souvent par circuler bien au-delà de leur objectif initial.
Dans le monde physique, un missile reste sous contrôle tant qu’il est stocké dans un arsenal. Dans le monde numérique, un outil de piratage peut être copié à l’infini, revendu, modifié et réutilisé.
Une fois libéré, il devient presque impossible de reprendre le contrôle.
Et dans ce domaine, comme le résument certains chercheurs en cybersécurité :
une fois que le génie sort de la bouteille, il n’y retourne jamais vraiment.
Source : Analyse basée sur les recherches de Google Threat Analysis Group et de la société de sécurité mobile iVerify, relayées par plusieurs médias spécialisés en cybersécurité.
