Une fuite présumée d’un framework d’exploitation lié au gouvernement américain alimente aujourd’hui la première campagne massive d’attaques contre iOS, selon plusieurs analyses de chercheurs en cybersécurité.
Deux études publiées révèlent l’existence d’un kit d’exploitation baptisé Coruna, utilisé dans des attaques visant iOS. Les chercheurs soupçonnent l’origine gouvernementale américaine de cet ensemble d’outils, aujourd’hui réutilisé par des cybercriminels et des acteurs étatiques. Des traces apparaissent dans des opérations menées par des groupes chinois, dans des attaques russes contre l’Ukraine et chez un client d’un fournisseur de logiciels espions. Cette diffusion illustre l’essor d’un marché parallèle des failles zero-day.
Un arsenal d’exploitation qui s’est échappé
Les chercheurs de Google Threat Intelligence Group et d’iVerify décrivent un phénomène rarement observé dans l’écosystème Apple. Un kit d’exploitation complet, baptisé Coruna, circule désormais entre plusieurs acteurs malveillants et alimente des campagnes d’attaque contre iOS.
Ce framework regroupe des techniques permettant d’exploiter des failles zero-day, des vulnérabilités inconnues du public et encore non corrigées par les éditeurs. L’analyse publiée mardi indique que cet ensemble d’outils a été utilisé dans plusieurs opérations distinctes.
Les traces retrouvées montrent d’abord l’emploi de ces exploits par un client d’un fournisseur de logiciels espions. Les chercheurs ont ensuite identifié leur utilisation dans des campagnes attribuées à un groupe russe visant des utilisateurs ukrainiens. Enfin, le kit complet a été récupéré chez un groupe cybercriminel à motivation financière opérant depuis la Chine.
Pour les analystes, cette circulation entre espionnage étatique, industrie des logiciels intrusifs et cybercriminalité marque un tournant. Rocky Cole, cofondateur d’iVerify, évoque un possible « moment EternalBlue ». Cette référence renvoie à l’outil d’exploitation développé par la NSA qui avait fuité avant de servir aux attaques mondiales WannaCry et NotPetya en 2017.
Google estime que cette affaire illustre la diffusion progressive de capacités techniques autrefois réservées aux services de renseignement. L’entreprise observe l’émergence d’un véritable marché secondaire des exploits zero-day. Des acteurs malveillants peuvent acquérir ces techniques, puis les adapter à de nouvelles vulnérabilités.
Il indique disposer d’indices suggérant que ce framework pourrait provenir d’un programme gouvernemental américain. Les chercheurs précisent toutefois que la question de son origine exacte demeure incertaine. Leur conclusion se concentre sur le risque principal : une fois divulgués, ces outils rejoignent rapidement les circuits clandestins.
Les analystes ont également examiné le code source du framework. Selon Rocky Cole, sa qualité technique apparaît remarquable. La structure du code, la cohérence de l’ensemble et certains commentaires laissent penser à des développeurs anglophones expérimentés, familiers du secteur de la défense américain.
Capture écran : zataz.com
News & alertes actualités cyber
Enquêtes, cyberveille, fuites, actu sécurité : recevez nos informations cyber là où vous êtes, chaque vendredi midi.
Un marché clandestin des failles en pleine expansion
La diffusion de Coruna intervient dans un contexte judiciaire révélateur de l’économie parallèle des exploits. La semaine dernière, un tribunal fédéral américain a condamné un ancien cadre de L3Harris pour la vente de vulnérabilités zero-day à un courtier russe.
Peter Williams, âgé de 39 ans, a écopé d’une peine supérieure à sept ans de prison après avoir reconnu deux chefs d’accusation liés au vol de secrets commerciaux. Il travaillait auparavant chez Trenchant, une unité spécialisée dans la cybersécurité appartenant à L3Harris.
Selon l’acte d’accusation, il a dérobé au moins huit exploits ou composants d’exploits développés dans ce cadre. Ces outils étaient destinés à un usage strictement réservé au gouvernement américain et à ses partenaires.
Entre 2022 et 2025, Williams aurait transmis ces informations confidentielles à un courtier russe en échange de paiements en cryptomonnaie. Le ministère de la Justice estime que les ventes lui ont rapporté environ 1,3 million $ (1,2 million d’euros). Les autorités évaluent le préjudice pour l’entreprise à 35 millions $ (32,2 millions d’euros).
Zero-day du jour zéro
Au tribunal, l’acheteur a été désigné sous le nom de « Société 3 ». Les éléments présentés lors de l’audience ont toutefois permis d’identifier Operation Zero, une plateforme russe spécialisée dans l’achat de failles zero-day.
Cette société se présente publiquement comme une place de marché permettant d’acquérir des vulnérabilités critiques. Lors de l’audience, le procureur adjoint Tejpal Chawla a cité une publication promotionnelle associée à cette plateforme. Le message promettait plusieurs millions de dollars pour des exploits visant iOS ou Android et précisait que « l’utilisateur final est un pays non membre de l’OTAN ».
Le Trésor américain a annoncé mardi des sanctions visant Operation Zero et une autre société active dans ce courtage d’exploits.
Parallèlement le kit Coruna se relie à l’opération Triangulation. Cette campagne d’espionnage révélée en 2023 avait ciblé la société russe Kaspersky ainsi que des institutions gouvernementales russes. L’entreprise russe avait alors accusé les États-Unis d’être à l’origine de l’opération, une accusation restée sans réponse officielle de la NSA.
Les chercheurs estiment qu’au moins 42 000 appareils iOS ont été compromis à ce stade. Ce volume demeure inhabituellement élevé pour l’écosystème Apple, traditionnellement moins exposé aux attaques massives. Les analystes précisent que ce chiffre pourrait augmenter au fur et à mesure de l’analyse technique.
Cette circulation d’outils offensifs entre services de renseignement, sociétés privées et cybercriminalité illustre l’érosion progressive des frontières dans l’économie mondiale des capacités cyber. La trajectoire du kit Coruna confirme que toute arme numérique finira tôt ou tard par circuler dans l’écosystème clandestin du renseignement technique. Il y a trois ans, même le FSB, les services de sécurité intérieure de Russe, s’était fendu d’un communiqué de presse suite à l’infiltration d’iPhone de politiques locaux.
