Coruna : le kit de piratage d'État qui vole vos cryptos

Quelque part en ce moment, un site web que vous pourriez visiter demain sonde silencieusement votre iPhone, vérifie votre version d'iOS, confirme que le mode Isolement est désactivé, puis s'apprête à déployer l'une des 23 failles conçues pour prendre le contrôle total de votre appareil. Aucun clic requis. Aucun lien suspect. Une simple page web suffit.

Un arsenal qui n'aurait jamais dû quitter les laboratoires

Les chercheurs du Google Threat Intelligence Group et de la firme de sécurité mobile iVerify ont confirmé de manière indépendante l'existence de Coruna : un kit de piratage d'iPhone de niveau militaire contenant cinq chaînes d'exploitation complètes et 23 vulnérabilités distinctes. Le kit cible tous les iPhone équipés d'iOS 13 à 17.2.1, soit les modèles commercialisés entre septembre 2019 et décembre 2023. Le code est rédigé en anglais avec une documentation exhaustive, incluant des commentaires internes qui ressemblent à un manuel de développeur. L'analyse par rétro-ingénierie d'iVerify conclut que la boîte à outils « semble avoir été construite sur les mêmes fondations que des outils de piratage connus du gouvernement américain ». Elle partage des modules avec l'Opération Triangulation, la campagne de 2023 que la Russie a attribuée à la NSA après son utilisation contre des chercheurs de Kaspersky. Concevoir un tel outil coûte des millions. Il n'était pas destiné à circuler.

Des services de renseignement aux voleurs de cryptomonnaies

Google a retracé la migration de Coruna à travers trois phases distinctes. En février 2025, le kit apparaît entre les mains du client d'une société de surveillance, dans le cadre d'une opération de renseignement classique. En juillet 2025, il refait surface dans des attaques de type « watering hole » sur des sites ukrainiens, dissimulé sous forme d'iFrames cachés par UNC6353, un groupe d'espionnage suspecté d'être russe. Le code d'exploitation était servi de manière sélective : seuls les iPhone géolocalisés dans des zones précises recevaient la charge utile.

Puis le basculement s'est produit. En décembre 2025, Coruna est repéré sur de faux sites chinois de cryptomonnaie et de jeux d'argent. La charge utile a été entièrement réécrite. Au lieu d'implants de surveillance, le programme recherchait désormais sur les téléphones des victimes les applications de portefeuilles crypto comme Metamask et BitKeep, traquait des mots-clés tels que « phrase de récupération » et « compte bancaire », puis exfiltrait les clés de récupération et les identifiants d'accès aux plateformes d'échange. Résultat : 42 000 iPhone compromis, un chiffre qu'iVerify qualifie de « massif » pour iOS. Il s'agit du premier cas documenté d'un groupe criminel utilisant des outils d'exploitation de niveau étatique pour du vol financier de masse sur appareils mobiles.

L'économie souterraine des failles de sécurité d'occasion

Comment un kit conçu pour un sous-traitant du gouvernement américain s'est-il retrouvé entre les mains d'espions russes et de voleurs de cryptomonnaies chinois ? Le rapport de Google est direct : la réponse reste incertaine, mais le schéma « suggère un marché actif de revente de failles zero-day d'occasion ». Ce n'est pas un cas isolé. Le dernier rapport de menaces de Google recense 90 vulnérabilités zero-day exploitées en 2025, contre 78 l'année précédente. Pour la première fois, les fournisseurs de logiciels de surveillance commerciaux sont responsables de plus d'exploitations zero-day attribuées que les groupes étatiques traditionnels, ayant directement exploité 15 vulnérabilités. La chaîne d'approvisionnement en armes numériques se mondialise, et les acheteurs ne sont plus uniquement des gouvernements.

Les CVE spécifiques présentes dans Coruna racontent cette histoire : CVE-2024-23222, une faille WebKit corrigée début 2024 ; CVE-2022-48503, ajoutée au catalogue des vulnérabilités exploitées connues de la CISA en octobre 2025 ; et CVE-2023-38606, l'une des failles de l'Opération Triangulation de 2023. Des vulnérabilités anciennes, toujours mortelles sur les appareils non mis à jour.

Ce que cela signifie concrètement pour votre iPhone

Coruna évite spécifiquement deux choses : les appareils équipés de la dernière version d'iOS et ceux ayant activé le mode Isolement. Le framework JavaScript caché vérifie ces deux conditions avant de déployer la moindre faille. Si l'une d'elles est remplie, l'attaque s'interrompt silencieusement.

Votre défense est simple, mais urgente. Mettez à jour votre iPhone vers la dernière version d'iOS immédiatement. Chaque appareil fonctionnant encore sous iOS 17.2.1 ou antérieur constitue une cible potentielle. Activez le mode Isolement si vous manipulez des données financières sensibles ou voyagez dans des zones à risque. Et intégrez cette réalité : l'ancien postulat selon lequel « les iPhone ne se font pas pirater » est mort le jour où les propres armes d'un gouvernement sont devenues accessibles au marché noir. Les 42 000 appareils déjà compromis l'ont été en visitant une seule page web. La prochaine vague d'attaques utilisant ces outils n'est pas une question de « si », mais de « quel site ».