Coruna : le spyware iOS qui cible vos cryptomonnaies

Temps de lecture : 4 min

Coruna : quand les exploits iOS tombent entre de mauvaises mains

En pratique, le kit d’exploits « Coruna » représente un changement de paradigme pour la sécurité mobile. Identifié par les équipes de Google, cet arsenal de 23 vulnérabilités ciblant iOS 13 à 17.2.1 est désormais massivement utilisé pour vider les portefeuilles de cryptomonnaies. Sur le terrain, cela signifie qu’une technologie d’intrusion sophistiquée, autrefois réservée à quelques acteurs, est devenue une commodité pour le crime organisé.

Sans langue de bois, l’enquête conjointe avec iVerify montre une réalité brutale pour les DSI. Les capacités d’ingénierie inverse et d’exploitation automatisée ne sont plus l’apanage des agences gouvernementales. Ce qui compte vraiment, c’est la vitesse de propagation : en un an, Coruna a été observé dans trois contextes distincts.

• D’abord utilisé par un client d’un vendeur de logiciels de surveillance.
• Puis déployé dans des attaques « watering hole » contre des utilisateurs ukrainiens par le groupe russe UNC6353.
• Enfin, récupéré par UNC6691, un groupe criminel chinois, pour des campagnes de phishing financier à grande échelle.

Coruna est donc l’exemple parfait d’un spyware qui suit une trajectoire descendante : des vendeurs spécialisés, aux acteurs étatiques, puis aux opérations criminelles purement lucratives. Passons au concret pour comprendre son fonctionnement.

Décortiquons l’architecture technique de Coruna

La force de Coruna ne réside pas dans une faille unique, mais dans son approche modulaire et adaptative. Le kit analyse l’appareil cible – modèle d’iPhone, version d’iOS – et sélectionne la chaîne d’exploits la plus efficace. En pratique, il exploite des vulnérabilités comme la CVE-2024-23222 (WebKit), pourtant corrigée par Apple début 2024. Cela illustre le risque des « zero-day de seconde main » : des failles patchées mais toujours exploitables sur les parcs non mis à jour.

L’ingénierie est précise. Le kit vérifie si l’appareil est en mode isolement (Lockdown Mode) ou en navigation privée. Si c’est le cas, il interrompt l’attaque pour éviter la détection. Sur le terrain, cette furtivité est préoccupante.

L’implant final, baptisé PlasmaLoader, utilise une technique d’injection ingénieuse. Il s’injecte dans le processus système « powerd » d’iOS, un service racine. Cela lui permet de s’exécuter avec des privilèges élevés sans créer de nouveau processus visible, échappant ainsi aux détections basiques.

Mais ce qui distingue Coruna des spywares classiques, c’est sa finalité. Sa version actuelle ne cherche pas des documents confidentiels. Elle scanne activement l’appareil pour cibler 18 portefeuilles de cryptomonnaies (MetaMask, Phantom, Trust Wallet…) et fouille les notes Apple à la recherche de phrases de récupération (seed phrases). L’objectif est purement financier et automatisé.

Le mythe de l’écosystème fermé : une confiance ébranlée

Cette affaire confirme un point que je martèle depuis des années : la sécurité mobile ne peut plus reposer sur la seule confiance aveugle envers un écosystème fermé, même celui d’Apple. Le manque de transparence et d’accès aux données système sur les téléphones place les équipes de sécurité dans une impasse.

Pour les utilisateurs d’iPhone qui tardent à mettre à jour leur système, la menace est tangible. Une simple navigation sur un site compromis – un e-commerce, une page de services locaux – peut suffire. L’infection se déclenche via un iFrame invisible, sans aucune interaction requise. Ce scénario est particulièrement dangereux pour les TPE/PME dont les collaborateurs utilisent leurs appareils personnels pour le travail (BYOD).

Stratégies de défense pragmatiques pour les entreprises

La bonne nouvelle, c’est que Coruna n’est pas invincible. Une analyse coût/bénéfice montre que les mesures de protection les plus efficaces sont aussi les plus simples. Décortiquons ça.

Priorité absolue : la gestion rigoureuse des mises à jour. Coruna est inopérant contre iOS 17.3 et supérieur. Pour les DSI, cela se traduit par une politique stricte de mise à jour de la flotte mobile. En pratique, cela peut nécessiter des outils de Mobile Device Management (MDM) pour forcer les mises à jour sur les appareils professionnels.

Le Lockdown Mode : une parade sous-utilisée. Pour les collaborateurs à haut risque (direction, financier, R&D), l’activation de ce mode est une mesure de sécurité drastique mais efficace. Coruna est programmé pour s’auto-avorter face à cette configuration. Son déploiement doit être réfléchi, car il limite certaines fonctionnalités, mais le ratio sécurité/contrainte est excellent.

Surveillance réseau proactive. Coruna utilise un Domain Generation Algorithm (DGA) pour contacter ses serveurs de commande via des domaines en « .xyz ». Une surveillance accrue du trafic réseau sortant, à la recherche de connexions anormales vers ce TLD, peut permettre de détecter une infection en cours sur le réseau d’entreprise.

En conclusion, Coruna est un signal d’alarme. Il démontre que les outils d’intrusion avancée se démocratisent et que leur cible évolue vers le gain financier immédiat. Pour les décideurs, la réponse n’est pas dans la panique, mais dans un pragmatisme technique : maintenir les systèmes à jour, déployer des modes de protection renforcés pour les profils sensibles, et superviser le trafic. Sans ces fondamentaux, aucune technologie, aussi fermée soit-elle, ne peut garantir votre sécurité.

Mathias Courtois

Ingénieur systèmes et architecte cloud pendant 8 ans chez un leader européen de l’hébergement, reconverti dans l’analyse tech et business. Passionné par l’intersection entre infrastructure IT, IA générative et transformation digitale des entreprises. J’aide les décideurs et les équipes techniques à naviguer dans l’écosystème tech sans bullshit marketing.