Une nouvelle boîte à outils de piratage sophistiquée, découverte par Google, met en danger les propriétaires d'iPhone et leurs portefeuilles de crypto-monnaies. Baptisé "Coruna", ce logiciel malveillant est capable d'infecter les appareils Apple de manière totalement passive, simplement en visitant un site web compromis, puis de siphonner les fonds de certaines des applications de portefeuilles de crypto-monnaies les plus populaires au monde.
La menace, qui a émergé de l'analyse des équipes de sécurité de Google, représente un dangereux bond en avant dans le paysage des cyber-attaques, combinant le silence d'un exploit zéro-clic avec une cible financière directe.
Attaque invisible : un simple clic suffit pour être infecté
La caractéristique la plus inquiétante de Coruna est sa capacité à fonctionner sans aucune interaction de la part de la victime. Contrairement au phishing classique qui nécessite de cliquer sur un lien malveillant ou de télécharger un fichier infecté, cette boîte à outils exploite des vulnérabilités profondes dans le système d'exploitation iOS.
Un utilisateur disposant d'un iPhone obsolète n'a qu'à atterrir sur un faux site web ou un site web compromis pour déclencher l'infection. Une fois à l'intérieur, le logiciel malveillant ne vole pas les mots de passe, mais va directement à la source : les phrases de démarrage nécessaires pour restaurer et contrôler un portefeuille de crypto-monnaies.
Coruna analyse silencieusement les messages, les notes et d'autres fichiers de l'iPhone à la recherche de chaînes de texte spécifiques telles que "phrase de sauvegarde" ou "phrase de restauration", accompagnées de 12 ou 24 mots. Une fois la séquence trouvée, les attaquants prennent le contrôle total des fonds, en contournant toute autre authentification.
Qui est dans le collimateur : 18 applications à risque
L'attaque ne vise pas une seule plateforme, mais toute une constellation d'applications financières décentralisées (DeFi). Selon l'analyse de Google, 18 applications cryptographiques sont dans le collimateur de la Corogne, dont des géants du secteur tels que MetaMask, Phantom, Exodus, Trust Wallet et Uniswap. Les utilisateurs de ces plateformes sont donc exposés à un risque direct et immédiat de vol de crypto-monnaie.
La genèse d'une menace multiple
L'histoire de la Corogne est complexe et révèle un marché noir en pleine expansion pour les cyber-exploits. Google a reconstitué le parcours de la boîte à outils, en la récupérant sur des centaines de faux sites web, dont une réplique trompeuse de la plateforme d'échange de cryptomonnaies WEEX.
L'analyse a révélé une utilisation croisée inquiétante:
- À l'été 2025, un groupe d'espionnage russe présumé a utilisé la même boîte à outils pour cibler des utilisateurs d'iPhone en Ukraine, en exploitant des sites web d'entreprises locales compromis.
- Par la suite, un groupe criminel basé à China, motivé par des fins financières, l'a diffusé à grande échelle par le biais de sites d'escroquerie, ce qui a permis à Google de récupérer le code complet et de le renommer Coruna.
Ce changement de mains suggère l'existence d'un marché secondaire florissant pour des outils de piratage extrêmement puissants.
Comment vous protéger : la solution existe
Malgré la dangerosité de l'attaque, la défense est étonnamment simple et déjà disponible. La vulnérabilité exploitée par Coruna affecte les iPhones fonctionnant sous iOS 17.2.1 ou antérieur. Apple a publié le dernier correctif pour ces exploits avec la mise à jour vers iOS 17.3, publiée en janvier 2024. Ceux qui n'ont pas installé les mises à jour depuis plus d'un an et demi sont potentiellement en danger.
En outre, Apple avait déjà introduit une mesure de sécurité extrême qui s'est avérée fatale pour la boîte à outils : le Lockdown Mode. Activée dans les paramètres de l'iPhone, cette fonction bloque complètement l'attaque : dès que Coruna détecte la présence du mode, il cesse immédiatement de s'exécuter.
Un héritage dangereux : les exploits recyclés
L'analyse de Coruna a finalement révélé un autre élément inquiétant : deux des exploits à l'origine de la boîte à outils avaient déjà été utilisés dans une précédente et célèbre campagne d'espionnage iOS, l'opération Triangulation, découvert par Kaspersky en 2023. Cela montre comment les exploits de niveau "élite", une fois développés, continuent de circuler et d'être réutilisés par différents acteurs, passant des agences de surveillance aux groupes étatiques et finalement à la criminalité financière commune.
