Spécial - Hacklore vs DarkSword
26 mars 2026
Parce que... c'est l'épisode 0x734!
Parce que… c’est l’épisode 0x734!
Shameless plug
- 14 au 17 avril 2026 - Botconf 2026
- 20 au 22 avril 2026 - ITSec
- Code rabais de 15%: Seqcure15
- 28 et 29 avril 2026 - Cybereco Cyberconférence 2026
- 9 au 17 mai 2026 - NorthSec 2026
- 3 au 5 juin 2026 - SSTIC 2026
- 19 septembre 2026 - Bsides Montréal
- 1 au 3 décembre 2026 - Forum INCYBER - Canada 2026
- 24 et 25 février 2027 - SéQCure 2027
Description
Contexte
Dans cet épisode spécial du podcast, l’animateur reçoit Guillaume Ross pour discuter d’un sujet d’actualité brûlant en cybersécurité mobile : la publication d’un outil d’exploitation sophistiqué — le toolkit DarkSword — sur la place publique, et ce que cela signifie concrètement pour la sécurité des utilisateurs ordinaires. La discussion s’inscrit dans la continuité des conseils véhiculés par le projet Hacklore, qui vise à démystifier la sécurité informatique pour le grand public.
DarkSword et Corona : des outils de surveillance commerciaux
Guillaume commence par recontextualiser la situation. DarkSword et Corona sont deux toolkits d’exploitation mobile qui combinent de nombreuses vulnérabilités — notamment plusieurs failles dans WebKit et dans iOS — pour compromettre des appareils ciblés. Ces outils, qui valaient autrefois des millions de dollars, semblent provenir d’une entreprise commerciale de surveillance. Comment ils se sont retrouvés dans le domaine public reste flou : fuite interne, employé corrompu ou revente illicite, l’origine exacte n’est pas encore établie.
Ce qui est clair, c’est leur évolution d’utilisation : au départ déployés pour cibler des Ukrainiens dans le contexte du conflit avec la Russie (notamment via des watering hole attacks, soit des attaques à l’abreuvoir, où l’on compromise des sites web fréquentés par les cibles), ces outils ont ensuite été utilisés contre des acteurs du monde des cryptomonnaies et des jeux d’argent en ligne.
Faut-il vraiment paniquer ?
Guillaume tient un discours nuancé et rassurant pour la majorité des utilisateurs. La plupart des vulnérabilités exploitées par DarkSword et Corona ont été corrigées. En particulier, une personne qui maintenait son appareil à jour avec la version la plus récente d’iOS au moment de leur diffusion n’était généralement pas affectée. Aujourd’hui, il faudrait être deux versions en retard (soit en dessous d’iOS 26.2 au moment de l’enregistrement) pour rester vulnérable.
Ce constat rejoint directement le message de fond de Hacklore : les mises à jour système sont la mesure de protection la plus importante. Non pas par peur des ports USB à l’aéroport ou des réseaux Wi-Fi publics — aucune des vulnérabilités connues de DarkSword n’est liée aux ports USB —, mais parce que le vecteur d’attaque principal reste les messages textes (SMS, iMessage) et la navigation web.
Le vrai vecteur de menace : les messages et le web
Contrairement à l’idée populaire que le danger vient des connexions physiques ou des réseaux publics, Guillaume souligne que les exploits mobiles les plus redoutables transitent principalement par :
- Les messages textes et iMessage, car l’utilisateur ne contrôle pas ce qu’il reçoit, et l’application Messages est complexe et supporte de nombreux formats de fichiers.
- La navigation web (attaques à l’abreuvoir), où un site légitime mais compromis peut servir de vecteur d’infection via Safari.
Cela signifie que même en faisant « attention », une personne ciblée peut être compromise sans avoir cliqué sur quoi que ce soit de suspect.
Recommandations concrètes selon le profil de risque
Guillaume distingue clairement deux catégories d’utilisateurs :
Pour monsieur et madame tout le monde :
- Installer les mises à jour iOS ou Android dès que possible, sans attendre.
- S’abonner à la liste de diffusion Security Announce d’Apple pour être alerté rapidement.
- Utiliser l’application iVerify pour recevoir des notifications presque instantanées lors de nouvelles mises à jour.
- Envisager le DNS over HTTPS pour avoir une meilleure visibilité sur le trafic réseau en entreprise.
Pour les personnes à haut risque (journalistes, militants, détenteurs de cryptomonnaies importantes) :
- Activer le mode Isolement (Lockdown Mode) sur iPhone, qui désactive les aperçus de fichiers dans Messages et réduit considérablement la surface d’attaque.
- Utiliser iVerify pour une analyse forensique de l’appareil.
- Considérer le renouvellement régulier de l’appareil : le processeur de l’iPhone 17 (et des puces M5) intègre le Memory Integrity Enforcement (MIE), une technologie qui rend de nombreuses techniques d’exploitation nettement plus difficiles.
Le problème des mises à jour négligées
Un point important est soulevé concernant iOS 26 et son interface Liquid Glass, jugée peu populaire, voire franchement mauvaise selon Guillaume. Beaucoup d’utilisateurs décident délibérément de ne pas mettre à jour, préférant attendre iOS 27. C’est une erreur de sécurité significative, car les correctifs arrivent d’abord sur la version actuelle, avec un délai parfois important avant d’être rétroportés sur les versions plus anciennes. Ironiquement, Guillaume suggère que les nouveaux emojis inclus dans iOS 26.4 pourraient être le meilleur argument pour convaincre les récalcitrants de mettre à jour.
Qui est vraiment à risque sans le savoir ?
La partie la plus importante de la discussion porte sur les personnes qui ne se rendent pas compte de leur profil de risque élevé. Parmi elles : les détenteurs de cryptomonnaies avec des portefeuilles locaux, qui se sont retrouvés propriétaires d’actifs considérables sans avoir mis en place une hygiène de sécurité adéquate. Mais aussi des personnes vivant dans des pays où certaines caractéristiques personnelles (orientation sexuelle, opinions politiques) peuvent faire d’eux des cibles gouvernementales, sans qu’ils y pensent nécessairement.
Conclusion
En somme, la publication de DarkSword ne contredit pas les conseils de Hacklore — elle les confirme. Pour la grande majorité des utilisateurs, maintenir ses appareils à jour reste la mesure la plus efficace. Ce qui change, c’est que la fenêtre entre la disponibilité d’un exploit et son utilisation à plus grande échelle se rétrécit. La vigilance doit s’accélérer en conséquence.
Collaborateurs
Crédits
- Montage par Intrasecure inc
- Locaux virtuels par Riverside.fm
Tags: ios, malware, patch, state
Tweet
