Le virus Coruna est censé être un outil secret du gouvernement américain qui a fuité sur le marché noir, 23 trous pour espionner les utilisateurs iOS anciens

JAKARTA - Un toolkit d’hacking sophistiqué appelé Coruna aurait été diffusé sur le marché noir et est maintenant utilisé par des acteurs malveillants pour exploiter les iPhones non mis à jour. Cette découverte a suscité l’hypothèse que l’outil a été initialement développé pour le compte du gouvernement des États-Unis avant de s’échapper.

Un rapport de Wired cite des données du Threat Intelligence Group de Google et de la société de sécurité mobile iVerify. Google a cartographié la propagation de Coruna, tandis que iVerify a retracé les indications de son origine.

Coruna est un toolkit d’exploitation qui combine cinq techniques de piratage différentes en exploitant 23 vulnérabilités dans les versions anciennes d’iOS. Les appareils exécutant iOS 13 à iOS 17.2.1 — lancés entre septembre 2019 et décembre 2023 — peuvent être exposés simplement en visitant une page Web dangereuse. Cette attaque se concentre sur une faille dans WebKit, le moteur de navigation qui est le cœur de Safari.

Selon le rapport, si l’appareil supporte iOS 26, les utilisateurs sont fortement consérables de mettre à jour le système. Apple a affirmé avoir réparé les failles exploitées par Coruna et, en particulier, a rendu le toolkit inéfectif dans la version la plus récente. Au 12 février, environ 74 pourcent des iPhones compatibles avaient été misé à jour vers iOS 26.

Coruna est également capable de détecte le mode Lockdown Mode, un mode de sécurité extra-restreint destiné aux utilisateurs à risque élevé tels que les fonctionnaires ou les journalistes. Si le mode est activé, le kit d’outils ne poursuivra pas l’attaque. Mais pour les utilisateurs ordinaires, la mise à jour du système est considérée comme suffisante sans avoir à activer le mode.

Les origines de Coruna sont mises en lumière. L’un des fondateurs d’iVerify, Rocky Cole, a déclaré que ce toolkit était très sophistiqué, coûteux à développer et avait des caractéristiques similaires à celles d’un module précédemment attribué au gouvernement américain. Il a qualifié cela du premier exemple d’un outil très susceptible d’avoir été développé par le gouvernement américain, puis « hors contrôle » et utilisé par des ennemis et des groupes criminels cybernétiques.

iVerify estime qu'environ 42 000 appareils peuvent avoir été piratés en utilisant l'une des variantes de Coruna dans la campagne en mandarin. En outre, l'opération de renseignement russe est également censée utiliser ce kit pour cibler un certain nombre de citoyens ukrainiens.

Le schéma de diffusion est censé suivre le modèle classique du marché noir numérique: un outil est développé avec de gros fonds, il s'infiltre dans une chaîne d'événements qui n'est pas claire, puis il est vendu pour des millions de dollars. Les premiers acheteurs essaient probablement de recouvrer leurs coûts en revendant des versions modifiées, qui sont ensuite largement diffusées parmi les cybercriminels.

Il y a aussi des spéculations selon lesquelles Coruna pourrait être assemblé à partir de composants de l'Opération Triangulation, une campagne que la Russie avait auparavant revendiquée comme faisant partie de l'opération de piratage américaine. Cependant, iVerify estime que Coruna est trop solide et intégré pour être simplement le résultat de l'assemblage de différents modules.

L’affaire a réouvré un long débat sur les risques de développement d’ « outils de piratage à des fins bonnes ». L’histoire montre que les backdoor ou les exploiteurs désignés à des fins d’application de la loi peuvent se retourner contre eux lorsqu’ils sont divulgués. Des incidents tels que EternalBlue en 2017 rappellent que les failles de securité ne connaissent pas la moralité ; une fois hors de controlle, n’importe qui peut en tirer profit.

Pour les utilisateurs, le message est simple : les mises à jour du système ne sont pas seulement cosmétiques ou de nouvelles fonctionnalités, mais un véritable niveau de défense. Dans le paysage cybernétique moderne, un retard dans la mise à jour peut être une faille coûteuse. Dans un monde où des outils de plusieurs millions de dollars peuvent se retrouver dans des forums clandestins, la meilleure sécurité reste un appareil toujours mis à jour.