Apple fait le rare choix de rétroporter des correctifs vers iOS 18, car DarkSword est vraiment sérieux

Quand Apple enfreint ses propres règles, c'est que la situation est grave

Apple ne fait pas de cadeaux à ceux qui ignorent les mises à jour logicielles. La philosophie générale de l'entreprise a toujours été simple : mettez à jour ou assumez les conséquences. Alors quand Cupertino annonce qu'elle va déployer de rares correctifs de sécurité rétroportés spécifiquement pour iOS 18, c'est que quelque chose d'vraiment alarmant se trame.

Ce quelque chose, c'est DarkSword, un kit d'exploitation qui compromet silencieusement des iPhones depuis au moins novembre 2025 et qui est maintenant dangereusement exposé au grand public. Apple a confirmé à WIRED qu'elle livrera des correctifs spécifiques à iOS 18 pour les millions de propriétaires d'iPhone qui utilisent encore cette version, plutôt que de les forcer à passer à iOS 26. Pour Apple, c'est l'équivalent sécuritaire d'une visite à domicile.

Qu'est-ce que DarkSword exactement?

Découvert et analysé par le Google Threat Intelligence Group (GTIG), la société de sécurité mobile iVerify et Lookout, DarkSword est une chaîne d'exploitation sophistiquée qui cible les iPhones sous iOS 18.4 à 18.7. Elle exploite six failles distinctes, dont trois étaient des zero-days, c'est-à-dire qu'Apple n'en avait aucune connaissance avant qu'elles soient activement utilisées dans la nature.

La méthode d'attaque est ce que les chercheurs en sécurité appellent une exploitation "drive-by". Il suffit de visiter un site web compromis depuis un iPhone vulnérable pour que DarkSword prenne silencieusement le contrôle de votre appareil. Pas d'installation d'application douteuse. Pas d'invite de permission suspecte. Juste une page web qui fait le sale travail pendant que vous naviguez sans vous en douter.

Une fois à l'intérieur, la chaîne d'exploitation déploie trois familles de logiciels malveillants distincts : GHOSTBLADE, GHOSTKNIFE et GHOSTSABER. Oui, quelqu'un au comité de nommage s'amusait visiblement bien, mais la menace elle-même n'a rien d'amusant.

L'ampleur du problème

C'est là que les choses deviennent vraiment inconfortables. En février 2026, environ un quart de tous les utilisateurs d'iPhone utilisaient encore iOS 18. Les propres données de l'App Store d'Apple au 12 février indiquaient 20% parmi les appareils récents, et des estimations plus larges incluant le matériel plus ancien portaient ce chiffre à environ 24-25%. Selon les calculs auxquels on fait confiance, cela représente entre 220 millions et 270 millions d'iPhones affectés.

Pour mettre cela en perspective, c'est à peu près la population de l'Indonésie utilisant un système d'exploitation vulnérable.

Les cibles confirmées jusqu'à présent incluent des utilisateurs en Malaisie, en Arabie Saoudite, en Turquie et en Ukraine, mais la situation s'est considérablement aggravée lorsque le code de DarkSword a été divulgué sur GitHub vers le 23 mars 2026. Ce qui était autrefois un outil de surveillance ciblée est désormais une arme effectivement en accès libre.

Des rapports non vérifiés d'un chercheur en sécurité signalent également qu'un nouveau domaine DarkSword actif a été identifié ciblant des utilisateurs basés aux États-Unis, bien que cette affirmation n'ait pas été confirmée indépendamment au-delà d'une seule source.

Des espions aux criminels : le parcours de DarkSword

L'équipe de renseignement sur les menaces de Google a suivi un schéma tristement familier avec DarkSword. Il a commencé sa vie en tant qu'outil de surveillance commerciale, le genre de chose vendue aux gouvernements qui promettent de ne l'utiliser que contre de vraies menaces. De là, il a migré vers le groupe d'espionnage russe UNC6353, avant de se répandre chez des cybercriminels motivés par le profit.

La progression d'un outil parrainé par un État à un outil criminel est en train de devenir un chemin bien tracé dans le monde de la sécurité. Les entreprises de sécurité Malfors et Proofpoint ont déjà signalé que TA446 (également connu sous le nom de Star Blizzard ou COLDRIVER), un groupe de hackers lié au FSB du Kremlin, a commencé à envoyer des courriels de phishing armés avec DarkSword à partir du 26 mars. Ces courriels imitaient spécifiquement des invitations de l'Atlantic Council et ciblaient des fonctionnaires gouvernementaux, des groupes de réflexion, des universités, des institutions financières et des entités juridiques.

Patrick Wardle, ancien hacker de la NSA et PDG de DoubleYou, une société de sécurité axée sur Apple, a été l'un de ceux qui ont tiré la sonnette d'alarme. Quand quelqu'un avec son bagage dit que la situation est grave, cela vaut la peine d'y prêter attention.

Pourquoi Apple rompt avec la tradition

La décision d'Apple de rétroporter des correctifs vers iOS 18 est vraiment inhabituelle. L'entreprise l'a déjà fait, notamment lorsque le kit d'exploitation Coruna a été découvert et qu'Apple a repoussé des correctifs de sécurité vers iOS 17, mais cela reste l'exception plutôt que la règle.

Le précédent de Coruna vaut la peine d'être examiné car les parallèles sont frappants. Ce kit aurait été développé par la division Trenchant de L3Harris pour le gouvernement américain avant de se répandre vers des groupes d'espionnage russes et finalement des cybercriminels chinois. Il a affecté au moins 42 000 appareils, ce qui était considéré comme massif pour iOS à l'époque. DarkSword menace d'éclipser complètement ces chiffres.

Le problème fondamental est qu'Apple ne peut pas simplement dire à un quart de sa base d'utilisateurs de passer à iOS 26. De nombreux utilisateurs sont délibérément restés sur iOS 18, et pas parce qu'ils sont paresseux ou technophobes.

Le problème iOS 26

iOS 26, sorti en septembre 2025 avec son controversé redesign "Liquid Glass", a connu une adoption historiquement faible. En janvier 2026, seulement 18,1% des iPhones avaient effectué la transition, contre 77,1% pour iOS 18 au même stade de son cycle de vie. C'est un recul stupéfiant.

Les raisons sont multiples. La refonte de l'interface Liquid Glass a suscité de vives critiques de la part des utilisateurs qui l'ont trouvée un recul en termes d'utilisabilité. Au Royaume-Uni en particulier, iOS 26.4 a introduit des fonctionnalités obligatoires de vérification de l'âge qui ont suscité une résistance supplémentaire de la part des utilisateurs peu disposés à fournir des données personnelles supplémentaires.

Dire à des centaines de millions de personnes d'adopter un système d'exploitation qu'elles ont activement rejeté n'est pas une stratégie de sécurité viable. D'où les correctifs rétroportés.

Ce que vous devriez faire dès maintenant

Si vous utilisez iOS 18.4 à 18.7, le conseil est simple :

• Installez les correctifs rétroportés dès leur arrivée. Apple a confirmé qu'ils arrivent. Ne tardez pas.
• Soyez extrêmement prudent avec les liens. DarkSword fonctionne via des sites web compromis, et la campagne de phishing liée au FSB signifie que des liens malveillants sont activement distribués par courrier électronique.
• Vérifiez votre version iOS. Allez dans Réglages, puis Général, puis À propos. Si vous êtes dans la plage affectée, restez vigilant pour la notification de mise à jour.
• Demandez-vous si iOS 26 vaut peut-être le saut. Oui, Liquid Glass demande un certain temps d'adaptation. Mais utiliser un système d'exploitation qui reçoit activement des mises à jour de sécurité complètes est généralement préférable à compter sur des correctifs d'urgence rétroportés.

La vue d'ensemble

DarkSword met en évidence une tension croissante dans le modèle de sécurité des smartphones. Apple a longtemps soutenu que la meilleure protection consiste simplement à utiliser le logiciel le plus récent. Mais quand les taux d'adoption s'effondrent parce que les utilisateurs n'aiment vraiment pas une nouvelle version, ce modèle s'écroule de façon spectaculaire.

L'entreprise mérite d'être saluée pour avoir choisi le pragmatisme plutôt que l'orgueil ici. Rétroporter des correctifs vers iOS 18 est une admission implicite que l'adoption d'iOS 26 ne s'est pas passée comme prévu, et Apple ne fait pas ces admissions à la légère.

Rocky Cole, co-fondateur d'iVerify, s'est exprimé sur la nécessité de ce type de flexibilité. Quand des centaines de millions d'appareils sont en danger, le mantra "mettez simplement à jour" sonne creux.

Pour l'instant, la menace immédiate est claire et le correctif est en route. Mais la question plus profonde demeure : que se passe-t-il la prochaine fois qu'un exploit critique apparaît et qu'une partie significative de la base d'utilisateurs est bloquée sur un ancien système d'exploitation qu'elle refuse de quitter? Apple devra peut-être repenser son approche du support à long terme, car DarkSword ne sera pas le dernier kit à exploiter cette faille.

Lire l'article original sur la source.