Il n’a pas fallu une faille dans votre comportement, ni un clic maladroit sur un lien suspect. Juste une visite sur un site web ordinaire. C’est suffisant pour que Coruna, un kit d’exploitation iOS découvert début mars 2026 par les équipes de Google et de la société de sécurité mobile iVerify, prenne le contrôle complet de votre iPhone à distance. Ce que les chercheurs ont mis au jour dépasse les scénarios habituels : une arme de surveillance d’État qui a changé de mains plusieurs fois, jusqu’à se retrouver utilisée à grande échelle contre des utilisateurs ordinaires.
Comment les hackers russes ont mis la main sur un outil de surveillance d’élite
Coruna ne sort pas d’un forum du dark web. Selon Google Threat Intelligence Group (GTIG), le kit a d’abord été utilisé par un client anonyme d’une société de surveillance commerciale, dans des opérations très ciblées en février 2025. Quelques mois plus tard, il réapparaît entre les mains de UNC6353, un groupe d’espionnage suspecté d’agir pour le compte de l’État russe, qui l’a déployé contre des sites ukrainiens via des attaques dites « watering hole », des pièges tendus sur des pages légitimes fréquentées par les cibles. La piste remonte probablement jusqu’au contractant américain L3Harris, dont deux anciens employés ont reconnu des éléments internes du code.
23 exploits, 5 chaînes d’attaque : comment fonctionne concrètement Coruna
Le kit repose sur cinq chaînes d’exploitation complètes combinant 23 failles distinctes, certaines jamais documentées publiquement. La mécanique est redoutable : un simple script JavaScript dissimulé dans la page scanne silencieusement votre modèle d’iPhone et votre version iOS. Si vous êtes vulnérable, c’est-à-dire sous iOS 13 à 17.2.1, l’attaque s’enclenche automatiquement via WebKit, le moteur de Safari. Le kit exécute ensuite du code à distance, échappe au bac à sable d’Apple et prend les privilèges noyau du système. Des modules complémentaires permettent d’accéder aux portefeuilles crypto, à imagent, ou à WhatsApp.
Hackers russes, cybercriminels chinois : qui utilise Coruna aujourd’hui
Fin 2025, le kit réapparaît une troisième fois, cette fois dans les mains de groupes criminels financièrement motivés opérant depuis la Chine, via de faux sites de jeux d’argent et de crypto-monnaies. iVerify confirme avoir intercepté le kit actif sur un domaine chinois en décembre 2025 et parle d’un tournant : première exploitation de masse jamais observée sur iOS. Là où le spyware visait jusqu’ici des journalistes ou des dissidents, Coruna cible désormais n’importe quel utilisateur avec un iPhone non mis à jour. La CISA américaine a ajouté trois des failles exploitées à son catalogue des vulnérabilités connues le 6 mars 2026, avec une date limite de correction fixée au 26 mars.
Ce que vous devez faire maintenant pour ne pas être la prochaine cible
La bonne nouvelle est simple et concrète : Coruna ne fonctionne pas sur les versions récentes d’iOS. Une mise à jour suffit à neutraliser l’intégralité des 23 exploits du kit. Si votre appareil est trop ancien pour être mis à jour, activez le mode Isolement (Lockdown Mode) dans les réglages, ce qui réduit drastiquement la surface d’attaque. Si vous suspectez une infection, les indicateurs de compromission publiés par Google et iVerify permettent de vérifier votre appareil. Le message des chercheurs est sans ambiguïté : ces outils, conçus initialement pour espionner des cibles d’État, circulent désormais librement sur un marché de l’occasion entre hackers. Votre iPhone non mis à jour est une porte ouverte.
Lire plus d’articles sur DigiTechnologie :
– L’IA en train de tuer le métier de développeur, cliquez-ici
– Prendre en main correctement le Flipper Zero, cliquez-ici
– La clé USB Rubber Ducky pour hacker un ordinateur, cliquez-ici
– L’équipe DigiTechnologie a créé son propre VPN privé, cliquez-ici