{"id":29677,"date":"2026-03-06T04:43:13","date_gmt":"2026-03-06T04:43:13","guid":{"rendered":"https:\/\/www.europesays.com\/be-fr\/29677\/"},"modified":"2026-03-06T04:43:13","modified_gmt":"2026-03-06T04:43:13","slug":"premiere-attaque-de-masse-connue-sur-ios-et-elle-exploite-jusqua-23-failles","status":"publish","type":"post","link":"https:\/\/www.europesays.com\/be-fr\/29677\/","title":{"rendered":"premi\u00e8re attaque de masse connue sur iOS\u2026 et elle exploite jusqu\u2019\u00e0 23 failles"},"content":{"rendered":"

En 2017, le ransomware<\/a> WannaCry<\/a> a fait le tour du monde. Celui-ci est bas\u00e9 sur EternalBlue<\/a>, un exploit (un code d’exploitation de failles de s\u00e9curit\u00e9) d\u00e9velopp\u00e9 par la NSA, l’agence de renseignement am\u00e9ricaine, qui a \u00e9chapp\u00e9 \u00e0 leur contr\u00f4le. Et, d\u00e9sormais, l’histoire se r\u00e9p\u00e8te.<\/p>\n

Google<\/a> et iVerify<\/a> viennent d’annoncer la d\u00e9couverte de la premi\u00e8re attaque de masse<\/a> connue contre iOS<\/a>. Baptis\u00e9 Coruna, il s’agit d’un kit d’exploits, contenant cinq cha\u00eenes d’exploits compl\u00e8tes, c’est-\u00e0-dire exploitant une s\u00e9rie de failles afin de prendre la main sur l’iPhone, et l’outil peut exploiter un total de 23 failles de s\u00e9curit\u00e9. Il vise tous les iPhone<\/a> fonctionnant sous iOS<\/a> 13 \u00e0 iOS 17.2.1.<\/p>\n

Le nombre \u00e9lev\u00e9 d’exploits permet \u00e0 l’outil d’utiliser plusieurs m\u00e9thodes pour infecter un iPhone. Lorsque l’utilisateur visite un site sp\u00e9cialement con\u00e7u, un code JavaScript v\u00e9rifie les informations sur le mobile<\/a>, comme le mod\u00e8le et la version d’iOS, afin de d\u00e9terminer la meilleure m\u00e9thode pour mener l’attaque.<\/p>\n

\n

\"\"
\nL\u2019histoire de l\u2019outil Coruna. \u00a9 Google<\/p>\n

La Chine, dernier maillon de la cha\u00eene<\/p>\n

La version d\u00e9couverte par Google<\/a> \u00e9tait utilis\u00e9e par des criminels chinois, qui op\u00e9raient tout un r\u00e9seau de faux sites sur le sujet de la finance. Ce groupe est identifi\u00e9 sous le nom UNC6691. Lorsqu’un iPhone<\/a> vuln\u00e9rable visite l’un de ces sites, le code JavaScript lance une attaque qui l’infecte avec un malware qui tente de voler les informations financi\u00e8res.<\/p>\n

Il cherche des codes QR dans les images enregistr\u00e9es, ou des informations comme des s\u00e9quences de 12\u202f\u00e0 24 mots qui permettent de r\u00e9cup\u00e9rer un compte Bitcoin (BIP39) ou des expressions comme \u00ab\u00a0phrase de secours\u00a0\u00bb ou \u00ab\u00a0compte bancaire\u00a0\u00bb dans les notes de l’appareil qui sont ensuite transmises \u00e0 un serveur de commande et de contr\u00f4le (C2).<\/p>\n

Le malware peut aussi r\u00e9cup\u00e9rer des modules sur ce serveur pour ajouter de nouvelles fonctionnalit\u00e9s, principalement destin\u00e9es \u00e0 voler des informations ou des portefeuilles de cryptomonnaies<\/a>.<\/p>\n

\n

\"\"
\nCe message affich\u00e9 sur les faux sites encourage les visiteurs \u00e0 utiliser un iPhone ou un iPad, seuls appareils que Coruna peut infecter. \u00a9 Google<\/p>\n

Un passage par la Russie<\/p>\n

Toutefois, l’histoire de cet outil est plus complexe, car Coruna n’a pas \u00e9t\u00e9 d\u00e9velopp\u00e9 par ces criminels chinois. Ce r\u00e9seau a \u00e9t\u00e9 d\u00e9tect\u00e9 en fin d’ann\u00e9e derni\u00e8re, mais ce n’est que le dernier maillon de la cha\u00eene. Google a d\u00e9tect\u00e9 ce m\u00eame code \u00e0 l’\u00e9t\u00e9 2025 sur des sites ukrainiens compromis. Cette fois, il ne visait pas le secteur financier, mais tout un \u00e9ventail de sites divers. Il \u00e9tait n\u00e9anmoins tr\u00e8s s\u00e9lectif, ne visant que certains iPhone d’une localisation sp\u00e9cifique. Cette attaque est attribu\u00e9e \u00e0 UNC6353, sans surprise un groupe d’espionnage suspect\u00e9 d’\u00eatre russe<\/a>.<\/p>\n

Une origine am\u00e9ricaine<\/p>\n

L\u00e0 encore, ce n’est pas le premier maillon de la cha\u00eene. La premi\u00e8re d\u00e9couverte du code JavaScript de Coruna remonte \u00e0 f\u00e9vrier 2025. Google se contente d’identifier la source comme \u00ab\u00a0un client d’une entreprise de surveillance\u00a0\u00bb. N\u00e9anmoins, le type de code, le niveau de sophistication et l’utilisation de l’anglais dans le code semblent sugg\u00e9rer que cet outil provient des \u00c9tats-Unis.<\/p>\n

\u00ab\u00a0Il est extr\u00eamement sophistiqu\u00e9, son d\u00e9veloppement a co\u00fbt\u00e9 des millions de dollars et il porte<\/a> les marques d’autres modules qui ont \u00e9t\u00e9 publiquement attribu\u00e9s au gouvernement am\u00e9ricain\u00a0\u00bb, a d\u00e9clar\u00e9 Rocky Cole, cofondateur d’iVerify. En clair, il s’agirait d’un outil d\u00e9velopp\u00e9 par la CIA, et dont l’agence aurait perdu le contr\u00f4le. La mani\u00e8re dont Coruna s’est retrouv\u00e9 ainsi dans la nature n’est pas \u00e9vidente, cependant cela \u00ab\u00a0sugg\u00e8re l’existence d’un march\u00e9 actif pour les exploits zero-day<\/a> \u00ab\u00a0d’occasion\u00a0\u00bb\u00a0\u00bb, indique Google.<\/p>\n

La bonne nouvelle est que toutes les failles exploit\u00e9es par Coruna ont d\u00e9j\u00e0 \u00e9t\u00e9 corrig\u00e9es par Apple<\/a>. Pour prot\u00e9ger son iPhone contre cette attaque, il suffit donc de s’assurer qu’il est \u00e0 jour. Si ce n’est pas possible, Google conseille d’activer le mode Isolement sur son mobile (Lockdown Mode).<\/p>\n","protected":false},"excerpt":{"rendered":"En 2017, le ransomware WannaCry a fait le tour du monde. Celui-ci est bas\u00e9 sur EternalBlue, un exploit…\n","protected":false},"author":2,"featured_media":29678,"comment_status":"","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[70],"tags":[450,12,13,18,17,2869,15965,596,1108,15966,7240,73,71,75,72,76,74],"class_list":{"0":"post-29677","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-sciences-et-technologies","8":"tag-apple","9":"tag-be","10":"tag-be-fr","11":"tag-belgique","12":"tag-belgium","13":"tag-cyberattaque","14":"tag-cyberguerre","15":"tag-cybersecurite","16":"tag-iphone","17":"tag-logiciel-espion","18":"tag-malware","19":"tag-science","20":"tag-science-and-technology","21":"tag-sciences","22":"tag-sciences-et-technologies","23":"tag-technologies","24":"tag-technology"},"share_on_mastodon":{"url":"https:\/\/pubeurope.com\/@be_fr\/116180405649897248","error":""},"_links":{"self":[{"href":"https:\/\/www.europesays.com\/be-fr\/wp-json\/wp\/v2\/posts\/29677","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.europesays.com\/be-fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.europesays.com\/be-fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.europesays.com\/be-fr\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.europesays.com\/be-fr\/wp-json\/wp\/v2\/comments?post=29677"}],"version-history":[{"count":0,"href":"https:\/\/www.europesays.com\/be-fr\/wp-json\/wp\/v2\/posts\/29677\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.europesays.com\/be-fr\/wp-json\/wp\/v2\/media\/29678"}],"wp:attachment":[{"href":"https:\/\/www.europesays.com\/be-fr\/wp-json\/wp\/v2\/media?parent=29677"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.europesays.com\/be-fr\/wp-json\/wp\/v2\/categories?post=29677"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.europesays.com\/be-fr\/wp-json\/wp\/v2\/tags?post=29677"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}