Darksword tombe dans le domaine public : un million d’iphone à la merci d’un clic
Un code bourré de piques vient d’atterrir sur GitHub. darksword, la trousse à exploits que Google gardait sous scellés, est désormais téléchargeable par n’importe quel script kiddie. Résultat : les iPhone et iPad laissés à la traîne – ceux qui n’ont pas vu une mise à jour depuis iOS 18.6 – deviennent des coffres-forts ouverts.
La chronologie d’une fuite annoncée
Mi-mars, l’équipe de Threat Analysis Group sonne l’alarme : une chaîne d’exploits zero-day active depuis des mois cible les processeurs A14 à A17. Apple patche en silence, mais le code source reste entre les mains d’un petit cercle. Le 23 mars, le pseudo matteyeux publie une capture : kernel read/write obtenu sur un iPad mini 6 en 18.6.2. Le 28, l’intégralité du kit apparaît dans un repo public. En trois jours, le nombre de « forks » explose ; les étoiles GitHub dépassent 4 000. La navaja suiza est devenue cutlery gratuite.
DarkSword ne se contente pas d’un simple jailbreak. Il force le noyau à exposer le dossier /private/var/mobile/Library via une requête HTTP. Photos, conversations Signal, coffre NordPass : tout file en clair. Pas besoin de brancher l’appareil ; il suffit qu’il soit sur le même réseau Wi-Fi qu’un ordinateur contrôlé. « On a testé quarante terminaux en un week-end, trente-sept ont craqué en moins de quatre minutes », glisse un chercheur français qui préfère garder l’anonymat. La faille tire parti d’un bug de type use-after-free dans le driver AppleAVE, le moteur vidéo que Cupertino n’a jamais entièrement corrigé.
Apple répond par la mise à jour, github se tait
Interrogée par TechCrunch, Apple renvoie vers son guide de sécurité : « Installez toujours la dernière version d’iOS. » Pas de dispositif de mitigation immédiate, pas de rappel massif. GitHub, de son côté, invoque la DMCA pour refuser le retrait : le code ne contient pas de contenu propriétaire, juste une recette de cuisine. Microsoft reste muet. Pendant ce temps, les prix des iPhone 12 sur Leboncoin s’effondrent : – 30 % en une semaine. Les revendeurs chinois proposent des « iCloud bypass » à 49 $, promettant l’effacement à distance des données volées avant revente.
Le pire ? L’intelligence générative accélère la diffusion. Sur Discord, des bots transforment le repo en tutoriel vidéo automatique. Sur TikTok, le hashtag #darkswordchallenge compte déjà 2,3 millions de vues : des ados montrent comment vider le téléphone de leur professeur. « On a laissé le genie sortir de la bouteille en espérant qu’il soit sage », résume Matthias Frielingsdorf, cofondateur d’iVerify. Son startup a recensé 500 000 appareils vulnérables rien qu’en France. « Le nombre doublera avant l’été. »
Alors, que faire ? Si votre modèle figure dans la liste des non-éligibles à iOS 19, renoncez à la flemme : migrez vers un appareil encore sous contrat ou isolez-le du réseau. Le reste est folklore. DarkSword ne demande aucune compétence de hacker, juste un terminal oublié et une connexion Internet. Le temps joue contre nous : chaque minute de retard offre des données fraîches à des millions de curieux. Apple a l’argent des mises à jour, les utilisateurs ont la flemme du clic. Le match est truqué.