Coruna iPhone Exploit cible les portefeuilles crypto, avertissent les chercheurs en sécurité

En Bref

Des chercheurs en cybersécurité ont découvert le kit d’exploitation Coruna, une boîte à outils sophistiquée ciblant les iPhones fonctionnant sous iOS 13 à 17.2.1 pour voler les identifiants de portefeuilles de cryptomonnaies via plusieurs vulnérabilités zero-day.

Des experts en cybersécurité ont identifié un puissant kit de piratage capable de contourner la sécurité des iPhones d’Apple et de voler des cryptomonnaies dans le portefeuille de l’utilisateur. Ce kit d’exploitation, nommé Coruna, exploite plusieurs vulnérabilités du système d’exploitation mobile d’Apple et a déjà été utilisé dans des activités cybercriminelles d’espionnage et à but lucratif.

Les chercheurs du Google Threat Intelligence Group ont découvert que le cadre Coruna regroupe 23 exploits différents dans plusieurs chaînes d’attaque, permettant aux hackers d’attaquer des appareils utilisant des versions plus anciennes du logiciel mobile d’Apple. Après déploiement, le malware scanne les appareils pour des données sensibles, telles que les identifiants de portefeuilles de cryptomonnaies et de banques.

Cette découverte souligne les risques croissants pour les consommateurs de cryptomonnaies utilisant des portefeuilles mobiles pour stocker leurs actifs numériques. Avec la popularité croissante des applications de trading mobile et de la finance décentralisée, les attaquants ciblent de plus en plus les smartphones comme point d’accès aux fonds numériques.

Une boîte à outils sophistiquée avec plusieurs voies d’attaque

Le kit d’exploitation Coruna est considéré comme l’une des structures d’attaque iPhone les plus sophistiquées jamais révélées publiquement. Les experts en sécurité indiquent que cet outil peut attaquer des appareils fonctionnant sous iOS 13 à iOS 17.2.1, ce qui concerne les iPhones sortis entre 2019 et fin 2023.

Au lieu d’une seule vulnérabilité, Coruna combine 23 exploits différents dans 5 chaînes d’attaque complètes, lui permettant de dépasser plusieurs niveaux de protection de sécurité d’Apple.

L’attaque ne nécessite souvent aucune interaction de la part de l’utilisateur, puisqu’il suffit de visiter un site malveillant. Une fois la page compromise chargée sur un appareil vulnérable, le code d’exploitation dissimulé s’exécute automatiquement, permettant à l’attaquant de prendre le contrôle du téléphone et d’installer un logiciel malveillant.

Le premier étape consiste à identifier le modèle d’iPhone et le type de système d’exploitation utilisé. Ensuite, il choisit la chaîne d’exploitation appropriée pour contourner les mesures de sécurité et installer le logiciel malveillant.

Les portefeuilles crypto deviennent une cible principale

Une fois l’appareil compromis, le malware vise à voler des données précieuses, notamment les identifiants de cryptomonnaies. Selon les enquêteurs, le logiciel implanté scanne les messages, notes et données d’applications pour repérer des mots-clés liés aux phrases de récupération crypto.

Le malware recherche spécifiquement les mots « phrase mnémonique », « phrase de sauvegarde » et « compte bancaire », généralement associés aux programmes de récupération de portefeuille. Lorsqu’il trouve ces phrases, les attaquants peuvent les utiliser pour récupérer le portefeuille de la victime sur un autre appareil et accéder entièrement à ses fonds.

Les chercheurs indiquent que le kit d’exploitation cible plusieurs applications populaires de portefeuilles décentralisés, notamment celles connectant les utilisateurs aux protocoles de finance décentralisée et aux plateformes de trading.

Les rapports révèlent qu’au moins 18 applications crypto supportent ce type d’extraction de données lorsqu’elles sont installées sur des appareils compromis. Après collecte, les données sensibles sont transmises à des serveurs de commande et de contrôle contrôlés par les attaquants, qui peuvent ainsi vider les portefeuilles en peu de temps.

De l’outil d’espionnage à l’arme criminelle

La propagation du kit d’exploitation Coruna auprès de divers acteurs malveillants est l’un des aspects les plus alarmants. Selon les enquêteurs, ce cadre a été identifié pour la première fois en 2025 dans le cadre d’activités de surveillance dirigée liées à un client d’un logiciel espion commercial.

La même année, la même infrastructure d’exploitation a été utilisée dans des attaques dites « watering hole » contre des sites ukrainiens, orchestrées par un groupe d’espions russes présumé.

En 2025, le kit a resurgi dans des opérations à but lucratif menées par des cybercriminels utilisant de faux sites de cryptomonnaies et de jeux d’argent.

Les chercheurs en sécurité supposent que les hackers ont installé le kit d’exploitation sur des centaines de sites frauduleux, infectant des dizaines de milliers d’appareils, et volant les informations utilisateur relatives aux portefeuilles crypto. Le développement de cet outil montre comment les meilleures technologies d’espionnage cyber peuvent finalement rejoindre l’écosystème criminel.

Un marché croissant pour les exploits zero-day

Les analystes en sécurité notent que Coruna illustre une tendance encore plus grande dans le secteur de la cybersécurité : le développement d’un marché clandestin pour des outils de piratage avancés.

Des frameworks d’exploitation plus sophistiqués, conçus par des gouvernements pour espionner leurs citoyens ou recueillir des renseignements, finissent parfois entre les mains de vendeurs privés ou de marchés noirs, et finissent par alimenter la criminalité cyber.

Il a été récemment rapporté que Coruna pourrait être comparé à des efforts de surveillance de haut niveau comme l’opération Triangulation, qui exploitait des vulnérabilités encore non divulguées pour compromettre des appareils Apple.

Le passage de ces outils du domaine de l’espionnage à celui de la cybercriminalité financière est préoccupant, d’autant plus que ces exploits avancés peuvent rapidement atteindre les marchés clandestins.

Les appareils Apple ne sont pas à l’abri des attaques de grande ampleur

Au fil des années, l’écosystème mobile d’Apple a été considéré comme plus sûr que la plupart des autres systèmes concurrents, grâce à un environnement d’applications très restrictif et à un système matériel-logiciel fermé.

Néanmoins, des cas comme Coruna montrent que même les systèmes les plus sécurisés peuvent être compromis si les attaquants parviennent à exploiter plus d’une vulnérabilité zero-day.

Selon les analystes, la conception du kit d’exploitation est particulièrement préoccupante, car elle permet une exploitation massive plutôt qu’une surveillance ciblée. Un seul site malveillant pourrait infecter n’importe quelle machine vulnérable qui le visite.

Les experts soulignent que cela représente un danger particulier pour ceux qui utilisent des cryptomonnaies et des applications décentralisées, des pages de revendication de tokens ou des fournisseurs de services de trading tiers, alors que les escroqueries en crypto continuent de croître.

Mesures de protection et réponse d’Apple

Heureusement, les chercheurs indiquent que dans les versions plus récentes de son système d’exploitation, Apple a déjà corrigé les vulnérabilités exploitées par Coruna.

Il n’est pas suspecté que le kit d’exploitation puisse affecter les utilisateurs disposant des dernières versions d’iOS. Les équipes de sécurité recommandent aux utilisateurs d’iPhone de mettre à jour leur téléphone vers la dernière version d’iOS immédiatement. La mise à jour élimine les vulnérabilités permettant à Coruna d’accéder au système dès le départ.

Pour protéger leurs appareils, les experts suggèrent également d’activer le mode de verrouillage, une option disponible sur les appareils Apple, qui permet d’éviter les intrusions avancées de logiciels espions en cas d’impossibilité de mettre à jour le système. Selon les chercheurs, Coruna suspend automatiquement son fonctionnement si le mode de verrouillage est détecté sur un appareil.