Analyse fondée sur les preuves des campagnes iOS DarkSword, du dénominateur d’exposition et des correctifs successifs.
Analyse éditoriale du risque cyber; l’article n’est ni Apple, ni DarkSword, ni un acteur, ni un vendeur de surveillance, ni une liste de victimes.
Recherche technique Google, travaux coordonnés d’iVerify et Lookout, avis de sécurité Apple, consignes de mise à jour et mesure App Store.
- Google a documenté des déploiements de DarkSword visant l’Arabie saoudite, la Turquie, la Malaisie et l’Ukraine depuis novembre 2025. Ces cas relèvent de groupes et de clients distincts; ils ne constituent pas un total mondial de victimes.
- L’estimation iVerify de jusqu’à 270 millions d’appareils sous certaines versions d’iOS 18 décrit une population potentiellement exposée, pas un bilan d’infections. Apple indique que les versions à jour sont protégées et a ensuite étendu les correctifs aux branches iOS plus anciennes.
Les campagnes observées sont plus étroites que le dénominateur possible
Google distingue au moins trois contextes: UNC6748 a utilisé un site imitant Snapchat contre des utilisateurs saoudiens; une activité associée à PARS Defense est apparue en Turquie puis en Malaisie; UNC6353 a détourné des sites ukrainiens en points d’eau. UNC6353 est évalué comme un groupe d’espionnage russe présumé, et non comme un service gouvernemental publiquement démontré.
L’opération ukrainienne remonte au moins à décembre 2025 et restait active en mars 2026. Lookout a relevé un indice d’infection potentielle le 12 février. Cela ne prouve pas que des millions de personnes ont été attaquées; un site compromis n’indique pas combien d’iPhone compatibles ont reçu et achevé toute la chaîne.
Ce que mesure le chiffre de 270 millions
iVerify estime que jusqu’à 270 millions d’appareils utilisaient encore iOS 18.4 à 18.6.2, versions prises en charge par le chargeur ukrainien. Il ne publie aucun nombre mesuré de visites pertinentes, de code d’exploitation servi, d’élévation de privilèges réussie, de charge installée ou d’infections confirmées. C’est une borne de population, pas un bilan d’infections.
Apple a ensuite indiqué que 79 % des iPhone ayant effectué une transaction sur l’App Store le 7 juin utilisaient iOS 26. Cette mesure plus récente porte sur l’activité App Store; ce n’est ni le parc total ni un audit de DarkSword. Fusionner les deux dénominateurs créerait une précision fictive.
Six failles, plusieurs charges utiles
Google décrit une chaîne JavaScript reliant exécution de code dans JavaScriptCore, contournement de l’authentification de pointeur dans dyld, deux sorties de sandbox et élévation au niveau du noyau. Les variantes observées couvraient iOS 18.4 à 18.7, tandis que le chargeur ukrainien d’UNC6353 couvrait 18.4 à 18.6.
Les campagnes ont livré GHOSTKNIFE, GHOSTSABER ou GHOSTBLADE. Leur code peut extraire messages, comptes, historique web et de localisation, identifiants Wi-Fi, photos, fichiers et données d’applications. Ces capacités décrivent la gravité après compromission, pas l’exécution de chaque module ni le vol de chaque donnée sur chaque appareil.
La frontière des correctifs a évolué
Google indique que la chaîne complète était corrigée dans iOS 26.3, publié le 11 février 2026, la plupart des failles l’ayant été auparavant. Apple a ensuite déclaré les dernières versions mises à jour d’iOS 15 à iOS 26 protégées, élargi la disponibilité d’iOS 18.7.7 le 1er avril et envoyé une alerte de mise à jour de sécurité critique aux anciennes versions d’iOS 18.
Apple précise que les appareils à jour et ceux sous Lockdown Mode étaient protégés contre ces attaques web signalées. Safe Browsing dans Safari bloque les domaines identifiés. Il faut néanmoins installer la dernière mise à jour prise en charge, activer Lockdown Mode si la mise à jour est temporairement impossible et enquêter sur l’exposition sans déduire une compromission de la seule version.
Points à surveiller
- Télémétrie de victimes confirmées séparée des estimations de versions vulnérables.
- Nouveaux domaines de points d’eau, code de livraison et couverture Safe Browsing.
- Réussite des étapes d’exploitation, exécution des charges et exfiltration vérifiée.
- Nouveaux opérateurs et niveau de confiance des attributions.
- Adoption des correctifs dans les flottes gérées et anciennes.
- Notifications Apple et résultats forensiques indépendants.
Sources
- Google Threat Intelligence Group, 18 mars 2026: campagnes, acteurs, chaîne d’exploitation, charges et chronologie des correctifs
- iVerify, 18 mars 2026: point d’eau ukrainien et estimation jusqu’à 270 millions selon les versions
- Lookout, analyse DarkSword: infrastructure, indice d’infection potentielle et comportement de la charge
- Apple, correctifs d’iOS 26.3: publication du 11 février 2026 et reconnaissance de CVE-2026-20700
- Apple, consignes contre les attaques web, 14 avril 2026: anciens iOS, Lockdown Mode, Safe Browsing et mises à jour
- Apple Developer, usage iOS mesuré le 7 juin 2026: dénominateur des transactions App Store, pas mesure d’infections
Brief signal
- Signal: DarkSword a été déployé dans quatre pays; 270 millions n’est pas un bilan d’infections
- Région: Asie-Pacifique
- Classe de marché: Tendances services cloud mondiales
Empreinte opérationnelle
- Sites compromis et livraison web
- Correctifs iOS et couverture Lockdown Mode
- Détection d’exposition et de compromission
- Forensique des charges et réponse
Contexte de marché
- Pertinence opérationnelle: Moyen
- Horizon: Prochain trimestre
À surveiller
- Inventaire des versions de flotte
- Télémétrie des domaines et historiques web
- Preuves forensiques des appareils
- Mises à jour de sécurité Apple courantes
Briefing membre
Contexte de tendance approfondi
Connectez-vous avec le bon niveau d'adhésion pour débloquer le briefing complet et les notes de source.
Réservé au Cercle stratégique
Cercle stratégique
Ouvert à tous les lecteurs. Débloquez les briefings de tendance après adhésion et connexion.
Rejoindre le Cercle stratégiqueRéservé à l'Alliance de leadership
Alliance de leadership
Pour les opérateurs, investisseurs et équipes politiques qui ont besoin de preuves relationnelles, de scénarios d'échec et de notes de source. Connectez-vous pour débloquer.
Rejoindre l'Alliance de leadership
