Le kit Coruna a enchaîné 23 vulnérabilités d’iOS 13 à iOS 17.2.1 pendant quatre ans

23 failles, cinq chaînes complètes, et une cible large comme un boulevard: des iPhone sous iOS 13 jusqu’à iOS 17.2.1. Google, via son Threat Intelligence Group, dit avoir mis la main sur un nouveau kit d’exploits baptisé Coruna, aussi vu sous le nom CryptoWaters. On parle d’un vrai « kit », pas d’une vulnérabilité isolée: un framework qui choisit la bonne arme selon ton modèle d’iPhone et ta version iOS.

Le truc, c’est que Coruna n’est pas décrit comme efficace contre la toute dernière version d’iOS. Bonne nouvelle, si tu mets à jour. Mauvaise nouvelle, si tu traînes sur une version « parce que ça marche très bien comme ça ». Et derrière, il y a une histoire de recyclage d’exploits, de modules réutilisables, et d’un marché gris qui fait tourner ces outils d’une main à l’autre.

Google remonte Coruna en trouvant une version debug

Google explique avoir collecté quelques centaines d’échantillons couvrant cinq chaînes d’exploits complètes. Le détail qui pique, c’est la découverte d’une version debug laissée par erreur dans l’infrastructure des attaquants. Dans cette version, les exploits ne sont plus autant obfusqués, et surtout, leurs noms internes apparaissent. Résultat: le nom Coruna sort du brouillard, parce que c’est celui utilisé par les développeurs eux-mêmes.

Un kit d’exploits, ce n’est pas juste « un bug WebKit » planqué dans une page web. C’est une boîte à outils structurée, documentée, avec des utilitaires partagés, des loaders sur mesure, et des composants qui s’enchaînent. Google insiste sur la qualité du code et de la documentation, avec des commentaires en anglais natif. Ça donne une idée du niveau d’ingénierie: on n’est pas sur un script bricolé à 2 heures du mat.

Coruna vise des versions d’iOS qui couvrent une période énorme: iOS 13 date de septembre 2019, iOS 17.2.1 de décembre 2023. En clair, ça touche potentiellement une masse d’appareils encore en circulation, surtout dans les parcs d’entreprise ou chez les gens qui gardent un iPhone 8, X, XR ou 11 « tant qu’il s’allume ». Et ça explique pourquoi un kit multi-chaînes a de la valeur: il s’adapte au terrain.

Marc, analyste sécu que j’ai eu au téléphone, résume ça simplement: « Quand tu vois un attaquant capable d’aligner plusieurs chaînes, tu comprends qu’il a prévu les échecs. Une faille patchée? Il bascule. Un modèle non compatible? Il a une autre route. » Du coup, même si Apple corrige, l’attaquant a souvent un plan B, au moins jusqu’à ce que la fenêtre se referme vraiment.

Cinq chaînes, 23 exploits: le kit choisit l’arme selon l’iPhone

Le kit embarque cinq chaînes d’exploits iOS et, au total, 23 exploits identifiés sur des versions allant d’iOS 13 à iOS 17.2.1. Le principe d’une chaîne, c’est d’enchaîner plusieurs failles pour passer d’un point d’entrée à un contrôle plus profond. Typiquement, tu commences par une exécution de code à distance côté navigateur, puis tu ajoutes des contournements de protections mémoire ou des escalades pour aller plus loin.

Le framework est décrit comme très « ingénieré »: composants liés par des utilitaires partagés, loaders personnalisés, et un mécanisme de fingerprinting pour identifier le type d’appareil et la version iOS avant de servir la bonne charge. C’est le genre de détail qui fait la différence entre un exploit qui marche « sur mon iPhone de test » et un kit capable de se déployer à plus grande échelle sans se cramer à chaque tentative.

Il y a aussi des comportements d’évitement. Coruna évite les appareils en Lockdown Mode et évite le contexte de navigation privée. C’est parlant: Lockdown Mode est pensé pour les personnes à risque (journalistes, opposants, profils exposés), et les attaquants savent que ce mode complique leur vie. Donc ils préfèrent ne pas tirer, ne pas laisser de traces, et attendre une cible plus « facile ». C’est cynique, mais logique.

Autre détail technique rapporté: des URLs de ressources dérivées d’un cookie codé en dur, et des modules livrant des exploits WebKit RCE et des contournements de PAC en clair. Après l’exploitation, un binaire loader déploie des payloads chiffrés et compressés, déguisés en fichiers. min. js. C’est la combine classique: tu fais passer une charge lourde pour un banal JavaScript minifié, histoire de se fondre dans le bruit.

Du watering hole en Ukraine aux arnaques crypto chinoises

Ce qui frappe dans les éléments remontés, c’est la variété des scénarios d’attaque. D’un côté, des attaques de type watering hole en Ukraine: tu compromises un site fréquenté par une cible, tu attends qu’elle vienne, et tu sers l’exploit à la volée. C’est sale, mais efficace, surtout quand tu cherches des profils précis. Là, le framework a été vu utilisé pour livrer plusieurs exploits RCE à des utilisateurs iPhone sélectionnés.

De l’autre côté, le même kit complet se retrouve dans des campagnes beaucoup plus « grand public », via des sites d’arnaque chinois liés à la finance et aux cryptos. Là, on n’est plus dans la cible ultra-sélectionnée, mais dans la pêche au chalut. Le kit est déposé via des iFrames cachées sur de faux sites d’investissement. Tu crois ouvrir une page « plateforme crypto », et en arrière-plan ça tente de fingerprint ton appareil pour choisir la chaîne adaptée.

Ce glissement est important, parce qu’il raconte une diffusion. iVerify parle d’un exemple marquant de capacités « spyware-grade » qui se propagent: des vendeurs de surveillance commerciale vers des acteurs étatiques, puis vers des opérations criminelles à grande échelle. Perso, c’est ça qui me fait le plus tiquer: pas seulement la sophistication, mais la démocratisation. Quand des outils haut de gamme se retrouvent dans des scams, le volume de victimes peut exploser.

Et ne te trompe pas de cible: tu n’as pas besoin d’être diplomate ou journaliste pour te faire accrocher. Les arnaques financières, c’est monsieur tout-le-monde: commerçants, retraités, étudiants, gens pressés qui cliquent sur une pub. Le kit, lui, ne fait pas la différence: si ton iPhone est dans la plage iOS 13 à 17.2.1 et si les conditions collent, il tente sa chance. Le reste, c’est juste une question de probabilité et d’exposition.

Modules réutilisables et failles déjà vues dans Operation Triangulation

Google note que certaines vulnérabilités exploitées par Coruna avaient déjà été utilisées comme zero-days dans Operation Triangulation. On parle donc de failles qui ont déjà servi dans des campagnes sérieuses, pas d’un bug obscur jamais utilisé. Et Coruna embarque des modules réutilisables pour faciliter l’exploitation de ces vulnérabilités. En clair: tu industrialises, tu standardises, tu gagnes du temps, et tu rends l’attaque plus « plug-and-play ».

Dans ce genre de kit, le vrai capital, ce n’est pas juste la faille. C’est tout ce qu’il y a autour: les contournements de mitigations, les techniques non publiques, la manière de stabiliser un crash, la sélection automatique de la bonne chaîne, et le packaging. Les sources décrivent des bypass avancés pour protections mémoire et kernel. C’est ce qui transforme un exploit « théorique » en outil opérationnel qui passe en prod.

Un exploit identifié dans l’écosystème Coruna, CVE-2024-23222, a été corrigé plus tard dans iOS 17.3. C’est un rappel utile: même quand Apple patch, il y a toujours un décalage entre « corrigé » et « déployé ». Beaucoup d’utilisateurs restent sur 17.2.1 pendant des semaines, parfois des mois. Dans une entreprise, c’est parfois pire: validation interne, compatibilité MDM, applis métier. Résultat: une faille corrigée continue de vivre sur le terrain.

La nuance, quand même: tout ça ne veut pas dire que chaque iPhone est automatiquement compromis à l’ouverture d’une page. Il faut des conditions, des versions, des vecteurs, et souvent une chaîne qui passe sans accroc. Mais le kit est conçu pour maximiser le taux de réussite en s’adaptant. Et quand tu vois 23 exploits, tu comprends l’idée: multiplier les portes d’entrée, réduire la dépendance à un seul bug, et garder une capacité d’attaque durable.

Marché de seconde main des zero-days: le vrai scandale

Google dit ne pas savoir comment Coruna a changé de mains, mais les indices pointent vers un marché actif de revente « seconde main » de zero-days. C’est ça, le fond du problème: une vulnérabilité rare, chère, finie par circuler. Pas forcément par un « leak » public, mais par revente, courtage, ou transfert entre groupes. Et une fois que l’outil est parti, tu ne le rappelles pas. Il peut ressurgir dans un autre théâtre, avec d’autres objectifs.

iVerify va plus loin en notant des similarités entre Coruna et des frameworks précédemment développés par des acteurs affiliés au gouvernement américain. Attention, ça ne veut pas dire « preuve directe » dans le texte public, mais ça alimente l’idée d’un héritage technique, de patterns qui se transmettent. Dans le milieu, c’est fréquent: un dev change de boutique, un prestataire recycle des briques, un outil est forké. Résultat: des signatures de design qui se retrouvent ailleurs.

Concrètement, qu’est-ce que tu fais avec ça si tu es utilisateur? La réponse la plus basique est aussi la plus efficace: tu mets à jour iOS, point. Coruna n’est pas efficace contre le dernier iOS selon les éléments publiés. Donc oui, la mise à jour, c’est chiant, ça tombe toujours au mauvais moment, mais c’est un des rares gestes qui ferme vraiment la fenêtre. Et si tu es profil à risque, Lockdown Mode existe pour une raison.

Côté entreprises, la leçon est un peu brutale: « on patch quand on peut » n’est plus une stratégie quand des kits multi-chaînes circulent. Il faut mesurer combien d’iPhone restent dans la plage iOS 13 à 17.2.1, combien de jours de retard moyen sur les updates, et quels usages web sont autorisés. Parce que l’attaque par iFrame cachée sur un site d’arnaque, ça passe souvent par un simple clic, pas par une pièce jointe exotique. Et ça, on le sait tous: le clic finit toujours par arriver.