Les chercheurs de Google lèvent le voile sur une nouvelle offensive sophistiquée visant iOS, capable d’infecter des centaines de millions d’iPhone à l’insu des utilisateurs. Derrière cette attaque, une chaîne d’exploitation inédite qui remet en cause la réputation de sécurité d’Apple.
Cybersécurité : des millions d’iPhones menacés par Darksword
By
Published on 19 mars 2026 6h19
14,2%Environ 14,2 % des iPhone seraient vulnérables à cette attaque
Le 18 mars 2026, le groupe Google Threat Intelligence a publié une analyse détaillée d’un nouvel exploit visant iOS, baptisé DarkSword. Cette découverte intervient dans un contexte de multiplication des attaques ciblant les smartphones Apple, longtemps considérés comme plus sécurisés que leurs concurrents.
Au cœur de cette affaire, une chaîne d’exploitation complexe reposant sur plusieurs failles critiques, capable de compromettre totalement un iPhone. Selon les chercheurs, cette attaque a déjà été utilisée dans plusieurs campagnes actives depuis fin 2025.
Apple : iOS face à un exploit inédit et très puissant
Google décrit une attaque particulièrement élaborée. « Le groupe a identifié un nouvel exploit complet iOS exploitant plusieurs vulnérabilités zero-day pour compromettre totalement des appareils », ont indiqué les chercheurs du Google Threat Intelligence Group dans leur rapport publié le 18 mars 2026.
Concrètement, la chaîne DarkSword repose sur 6 vulnérabilités distinctes, exploitées successivement pour contourner les protections d’iOS, selon Google Cloud Blog. Ce type d’attaque dite “full chain” permet d’obtenir un accès complet au système, jusqu’au noyau.
Plus inquiétant encore, cette attaque est répandue. Google précise avoir identifié « plusieurs utilisateurs de la chaîne DarkSword depuis novembre 2025 ». Autrement dit, l’exploit circule déjà activement entre différents acteurs, y compris potentiellement des groupes liés à des États.
Darksword : la menace sur iOs qui se diffuse à grande échelle
Les campagnes observées ne se limitent pas à une zone géographique. En effet, les attaques ont été repérées en Arabie saoudite, en Turquie, en Malaisie et en Ukraine, selon Reuters. Dans ce dernier pays, l’exploit a même été intégré à des dizaines de sites web compromis, servant de vecteurs d’infection.
Le mode opératoire est redoutablement efficace. Les chercheurs d’iVerify expliquent avoir reconstitué « un kit d’exploitation complet en un clic comprenant un exploit Safari, une sortie de bac à sable, une élévation de privilèges et des implants en mémoire destinés à exfiltrer des données sensibles ». Ainsi, une simple visite sur un site infecté peut suffire à compromettre un iPhone, sans aucune action supplémentaire de l’utilisateur. Ce type d’attaque, connu sous le nom de “watering hole”, cible souvent des profils spécifiques en infectant des sites qu’ils fréquentent.
Apple : des centaines de millions d’appareils potentiellement vulnérables ?
L’ampleur du problème est considérable. Selon iVerify, environ 14,2 % des iPhone seraient vulnérables à cette attaque, soit près de 221,5 millions d’appareils dans le monde. Ces chiffres s’expliquent notamment par la fragmentation des versions d’iOS. DarkSword cible principalement les versions iOS 18.4 à 18.7, selon Google Cloud Blog. Or, une part importante des utilisateurs n’effectue pas immédiatement les mises à jour.
D’après Apple Developer, seuls 66 % des iPhone utilisent la version la plus récente du système au 12 février 2026, ce qui signifie que 34 % des appareils restent sur des versions plus anciennes, donc potentiellement exposées. Cette situation crée une fenêtre d’exploitation importante pour les attaquants, qui peuvent viser les appareils non mis à jour pendant plusieurs semaines, voire plusieurs mois.
Réponse d’Apple face à la menace iOS
Apple n’est toutefois pas resté inactif. Les vulnérabilités exploitées par DarkSword ont été progressivement corrigées dans plusieurs mises à jour, notamment iOS 26.1, 26.2 et 26.3, selon iVerify. Dans sa documentation officielle, Apple reconnaît la gravité de certaines failles. « Un attaquant disposant de capacités d’écriture en mémoire pouvait exécuter du code arbitraire… Apple est au courant d’un rapport indiquant que ce problème pourrait avoir été exploité dans une attaque extrêmement sophistiquée visant des individus spécifiques ».
Par ailleurs, Google a identifié trois familles de logiciels malveillants déployés après exploitation : GHOSTBLADE, GHOSTKNIFE et GHOSTSABER, selon Google Cloud Blog. Ces implants permettent notamment la surveillance des communications, l’exfiltration de données et le contrôle à distance.