Février 2025. Alors que la majorité des utilisateurs d'iPhone se croyaient protégés par la forteresse numérique d'Apple, une découverte secoue le monde de la cybersécurité. Le Google Threat Intelligence Group (GTIG) révèle l'existence d'une suite d'attaque d'une sophistication terrifiante, baptisée « Coruna ». Ce n'est pas un simple logiciel malveillant amateur, mais une véritable arme de guerre numérique, conçue pour perforer les défenses réputées infranchissables d'iOS. L'ironie tragique de l'histoire ? Toutes les indications laissent penser que cet outil a été développé aux États-Unis, probablement pour le compte d'un gouvernement allié, avant de se retrouver en vente libre sur les marchés clandestins du dark web. Aujourd'hui, il n'est plus seulement l'apanage des services de renseignement : Coruna est utilisé activement par des groupes criminels pour piller des comptes bancaires, voler des cryptomonnaies et espionner des opposants politiques.
Ce basculement de l'outil d'État vers le crime organisé marque un tournant dangereux dans l'histoire de la sécurité informatique. L'histoire de Coruna rappelle le cas du journaliste piraté par Intellexa en Angola, où des technologies de surveillance censées lutter contre le terrorisme sont détournées pour harceler la société civile. Mais ici, l'échelle est bien plus grande. Nous sommes face à une prolifération incontrôlée d'une capacité de piratage de niveau militaire qui menace désormais des millions de citoyens ordinaires, à leur insu.
Coruna : quand l'arme secrète de l'État se retrouve en vente libre sur le dark web
L'alerte lancée par Google en février 2025 ne concerne pas une simple faille de sécurité, mais un écosystème complet d'exploitation. Coruna n'est pas un virus unique, mais une boîte à outils modulaire capable de s'adapter à différentes cibles et différents objectifs. Ce qui a choqué les chercheurs du monde entier, c'est la qualité du code et l'ampleur des moyens déployés pour contourner les protections d'Apple. On est loin des scripts malveillants copiés-collés par des apprentis hackers ; ici, nous avons affaire à du travail d'ingénierie logicielle de pointe, financé par des budgets colossaux et probablement issu d'une structure étatique ou para-étatique occidentale.
Pendant des mois, cet outil a circulé silencieusement dans les cercles fermés de la surveillance privée avant de fuiter vers des acteurs moins scrupuleux. Le marché des « cyber-mercenaires » est une jungle où les fournisseurs d'outils de piratage vendent leurs services aux plus offrants, qu'il s'agisse de dictatures ou de services secrets démocratiques. Une fois ces outils vendus, il est impossible de contrôler leur diffusion. C'est ainsi qu'une arme conçue pour la défense nationale ou le contre-terrorisme finit entre les mains de mafieux spécialisés dans le vol de données sensibles.
Google découvre 23 vulnérabilités inconnues dans un seul kit d'exploit
La découverte de Coruna par le GTIG est un exploit technique en soi. Les analystes de Google ont eu la chance de mettre la main sur une instance complète de cet outil et ont pu en disséquer le fonctionnement interne. Ce qu'ils y ont trouvé dépasse l'entendement : 23 vulnérabilités différentes, exploitées en chaîne, forment l'architecture de Coruna. Parmi ces failles, certaines étaient des « zero-days », c'est-à-dire des vulnérabilités totalement inconnues d'Apple et des chercheurs en sécurité au moment de leur découverte.
Le niveau de sophistication est tel que cela suggère un investissement humain et financier massif. Trouver une seule faille zero-day dans un système aussi sécurisé qu'iOS est déjà extrêmement difficile et coûteux. En trouver 23 et les assembler dans un kit cohérent et fonctionnel témoigne d'une expertise rare, généralement réservée aux agences comme la NSA ou la CIA. Cette accumulation de failles permet à Coruna de fonctionner sur un large éventail de versions d'iOS, assurant une compatibilité maximale avec les iPhone en circulation dans le monde.
De l'outil de renseignement au marché noir : une fuite inévitable
Le parcours de Coruna est un cas d'école de la prolifération cybernétique. À l'origine, il semble avoir été développé pour un client gouvernemental très spécifique, avec des règles d'engagement strictes. Cependant, la structure opaque de l'industrie des logiciels espions favorise les fuites. Les intermédiaires, ces boîtes qui servent de courtiers entre les développeurs et les États finissent souvent par vendre leurs « produits » à d'autres clients pour maximiser leurs profits.
Comme l'a souligné l'entreprise de sécurité iVerify, Coruna représente l'un des exemples les plus significatifs de prolifération d'outils de niveau espionnage. On est passé d'une utilisation ciblée, légitimée par des intérêts de sécurité nationale, à une utilisation indiscriminée par des groupes criminels motivés par le gain financier. Une fois l'outil sorti de son coffre-fort d'origine, il devient impossible à contrôler. Le code se copie, se partage, et finit par être proposé sur des forums spécialisés du dark web à des criminels qui n'ont pas l'expertise technique pour le développer, mais qui ont les fonds pour l'acheter.
L'anglais américain dans le code : la piste gênante qui mène à Washington
Si l'efficacité technique de Coruna fait froid dans le dos, son origine géographique soulève des questions politiques explosives. Contrairement à de nombreuses campagnes de piratage attribuées à des groupes soutenus par la Russie ou la Chine, les indices linguistiques intégrés dans le code de Coruna pointent résolument vers le monde anglo-saxon. L'analyse forensique menée par Google a révélé des détails pour le moins embarrassants pour les autorités américaines.
Il y a une ironie amère à penser que les contribuables américains ont peut-être indirectement financé l'outil qui sert aujourd'hui à les espionner ou à les dépouiller. Ce scénario illustre parfaitement la dualité problématique des services de renseignement : ils accumulent des armes numériques pour protéger leurs citoyens, mais la détention de ces armes crée un risque immense en cas de fuite. C'est le serpent qui se mord la queue. Cette situation s'inscrit dans un contexte plus large de guerre des données et de l'offensive américaine contre la souveraineté numérique, où la protection des citoyens entre souvent en conflit avec les impératifs de surveillance.
« Someone whose first language is English » : ce que révèle l'analyse linguistique du code
Les programmeurs laissent souvent des empreintes dans leur code, que ce soit par inadvertance ou par habitude de travail. Dans le cas de Coruna, les chercheurs de Google ont analysé les commentaires laissés par les développeurs dans le code source. Ce qu'ils ont trouvé est probant : les commentaires sont rédigés dans un anglais parfait, idiomatique, sans la moindre trace des erreurs syntaxiques ou des tournures de phrases typiques des locuteurs non natifs. Selon les chercheurs, ils ont manifestement été écrits par quelqu'un dont l'anglais est la langue maternelle.
Ce détail est bien plus qu'une simple curiosité. Dans l'univers du renseignement informatique, l'attribution est la clé. Si les concepteurs de Coruna sont américains, cela implique que l'outil a été développé aux États-Unis ou par une société contractor travaillant étroitement avec Washington. Le magazine spécialisé Wired a d'ailleurs avancé l'hypothèse plausible que cet outil avait été conçu pour un service de renseignement américain, avant de se diffuser. Cela place Washington dans une position délicate : défenseur de la cybersécurité sur la scène internationale, l'Amérique est aussi une source de menace via la fuite de ses propres cyberarmes.
L'industrie opaque des « cyber-mercenaires » au service des États
Coruna n'est malheureusement pas un accident isolé, mais le symptôme d'une industrie florissante et incontrôlée : celle des cyber-mercenaires. Des sociétés privées, souvent basées en Israël, en Europe ou aux États-Unis, conçoivent ces armes numériques et les louent ou les vendent aux gouvernements du monde entier. Leur argumentaire commercial met en avant la sécurité nationale et la lutte contre le terrorisme, mais la réalité est souvent plus sombre. Ces outils finissent entre les mains de régimes autoritaires pour traquer les journalistes, les activistes des droits de l'homme et l'opposition politique.
Cette industrie fonctionne dans l'ombre, avec peu de régulation et aucune transparence. Les contrats sont confidentiels, les utilisateurs finaux sont parfois dissimulés derrière des prête-noms, et la vérification de l'usage fait est quasi inexistante. Lorsqu'une faille est vendue à un gouvernement, il n'y a aucune garantie qu'elle ne sera pas revendue, perdue ou volée quelques mois plus tard. La découverte de Coruna prouve que le mur entre les agences d'espionnage professionnelles et les cybercriminels de bas étage est poreux, voire inexistant. L'argent est le moteur, et l'éthique est absente.
Zero-click : pourquoi votre vigilance ne sert plus à rien contre cette attaque
Pour le grand public, la cybersécurité se résume souvent à quelques règles de bon sens : ne cliquez pas sur des liens suspects, n'ouvrez pas des pièces jointes d'expéditeurs inconnus, et utilisez un mot de passe fort. Malheureusement, Coruna rend toutes ces précautions totalement obsolètes. Nous sommes entrés dans l'ère des attaques « zero-click », une technologie qui terrifie les experts en sécurité parce qu'elle contourne le facteur humain.
Dans une attaque classique, l'erreur de l'utilisateur est nécessaire pour que l'infection se produise. Avec Coruna, aucune erreur n'est requise. Vous pouvez être le plus prudent du monde, refuser tous les SMS douteux et ignorer les emails de phishing, si vous visitez une page web compromise, vous êtes infecté. Cette passivité de la victime est ce qui rend ces outils si dangereux. Il n'y a aucun avertissement, aucune fenêtre pop-up, aucune demande d'installation. L'intrusion est silencieuse, furtive et indétectable pour l'utilisateur moyen. C'est une porte dérobée invisible qui s'ouvre sans que vous ne remarquiez le moindre courant d'air. Ce genre de menace est d'autant plus préoccupante qu'elle peut viser des applications pourtant sécurisées, comme l'ont souligné les alertes concernant le piratage de Signal et WhatsApp par la Russie.
Une iFrame cachée suffit : l'infection invisible au coin de la rue
Techniquement, le mécanisme de Coruna est d'une élégance redoutable. L'injection se fait via une balise HTML invisible appelée « iFrame ». Imaginez une page web que vous visitez régulièrement, disons un site d'actualités ou un forum. Un pirate corrompt ce site en y insérant une iFrame de taille 0x0 pixel, donc invisible à l'œil nu. Cette iFrame charge, en arrière-plan, le code malveillant de Coruna vers le navigateur de votre iPhone.
Il n'est pas nécessaire de cliquer sur un lien ou de télécharger un fichier. Le simple fait que la page se charge dans le navigateur Safari déclenche l'attaque. C'est ce qu'on appelle une attaque drive-by download. Vous passez peut-être devant la page, vous lisez un article, et deux minutes plus tard, votre téléphone est sous le contrôle d'un inconnu. Cette invisibilité totale est la force de Coruna. Elle permet d'infecter des milliers de personnes qui ne soupçonnent rien, simplement en leur faisant visiter un site légitime qui a été compromis. C'est l'arme idéale pour une surveillance de masse ou un vol de données à grande échelle.
PlasmaLoader et PLASMAGRID : le malware qui s'installe en racine
Une fois que la première brèche est ouverte dans le navigateur grâce aux 23 failles de Coruna, la véritable charge utile est déployée. Google a identifié deux composants malveillants clés : PlasmaLoader et PLASMAGRID. Leur but ? S'installer au plus profond du système d'exploitation, au niveau « root » ou administrateur. Coruna vise spécifiquement un processus système crucial appelé « powerd », qui gère l'alimentation de l'appareil.
En injectant son code dans ce daemon système, le malware obtient des privilèges maximums. Il contourne le bac à sable (sandbox) d'iOS, qui est censé isoler les applications les unes des autres. Une fois installé en racine, Coruna peut tout faire : lire vos SMS, écouter vos microphones, récupérer vos photos, voler vos mots de passe enregistrés dans le trousseau iCloud, et même surveiller votre position GPS en temps réel. Pour les utilisateurs de cryptomonnaies, c'est l'enfer : le malware peut lire les clés privées ou les phrases de récupération de vos wallets. À ce niveau d'accès, la vie privée n'existe plus. L'appareil ne vous appartient plus, il est devenu un mouchard docile entre les mains de l'attaquant.
L'iPhone piraté en Ukraine et les wallets crypto vidés en Chine
La menace théorique devient une effroyable réalité lorsque l'on observe les cas d'usage documentés par Google. Coruna n'est pas resté dans les laboratoires ; il a été déployé massivement sur le terrain. Deux scénarios distincts illustrent la dualité de cet outil : une utilisation géopolitique dans le cadre de la guerre en Ukraine et une utilisation purement crapuleuse contre des victimes chinoises. Ces deux cas montrent que la même technologie peut servir à la fois à des opérations de contre-espionnage complexes et à des vols à la tire numériques.
L'analyse de ces attaques permet de tracer une carte de la prolifération de Coruna. On voit comment un outil sophistiqué initialement destiné à des cibles de haute valeur peut être « démocratisé » pour des attaques financières de masse. Les criminels n'ont pas besoin de comprendre toutes les subtilités techniques du code ; ils ont juste besoin de savoir comment l'utiliser pour générer du profit. C'est cette commoditisation du cybercrime qui rend la situation si préoccupante pour le grand public.
Le compteur de visiteurs piégé en Ukraine : la signature du renseignement russe
En Ukraine, l'utilisation de Coruna porte toutes les marques d'une opération d'État. Les chercheurs ont découvert le code malveillant intégré dans un module de comptage de visiteurs sur un site web très fréquenté dans le pays. L'astuce est diabolique : en compromettant ce petit script tiers, les attaquants peuvent infecter tous les visiteurs du site sans toucher au contenu principal, ce qui rend la détection beaucoup plus difficile. L'attribution de cette attaque pointe vers un groupe que Google identifie sous le nom de UNC6353, largement soupçonné d'être affilié aux services de renseignement russes.
Pourquoi l'Ukraine ? Le contexte de guerre explique tout. Les services russes cherchent à pénétrer les réseaux des fonctionnaires ukrainiens, des militaires, mais aussi des journalistes et des civils qui pourraient fournir des informations utiles sur la situation au front. En utilisant un outil comme Coruna, ils peuvent accéder aux téléphones de leurs cibles sans qu'elles ne s'en aperçoivent, récupérant les géolocalisations, les photos, les contacts et les messages. C'est une forme moderne de guerre, où le contrôle de l'information et l'espionnage se font à distance, via les poches des soldats et des citoyens.
UNC6691 : quand les cybercriminels chinois découvrent l'or noir des failles Apple
L'autre face de Coruna est apparue en Chine, où le même outil a été utilisé par un groupe différent, désigné par Google sous le nom de UNC6691. Ici, l'objectif n'est pas l'espionnage militaire, mais le profit financier pur et simple. Les attaquants ont mis en place un réseau de sites web en langue chinoise, se faisant passer pour des plateformes de vente ou d'échange de cryptomonnaies. Ces sites, qui paraissaient légitimes pour les utilisateurs novices, contenaient le code d'infection de Coruna.
Une fois les iPhone des victimes infectés, le malware cherchait spécifiquement des applications de portefeuille crypto ou tentait de dérober les phrases de récupération des wallets. Les cryptomonnaies étant particulièrement difficiles à tracer une fois volées, c'est une cible de choix pour les cybercriminels. Ce cas illustre le passage du « cyber-espionnage » au « cybercrime ». Une fois que l'outil a fui vers le marché noir, les groupes criminels l'adoptent car il est bien plus efficace que les virus classiques. Les protections d'Apple, réputées fortes, deviennent soudainement un obstacle mineur grâce à la puissance de Coruna.
Mon iPhone est-il concerné ? Versions touchées et signes d'infection
Face à une telle menace, la question urgente pour tout possesseur d'iPhone est : « Suis-je une cible ? ». La réponse dépend de plusieurs facteurs, notamment la version du système d'exploitation installée sur votre appareil. Coruna ne fonctionnait pas sur tous les iPhone, mais sa fenêtre d'action était large, couvrant plus de quatre ans de développements logiciels d'Apple.
Il est crucial de vérifier si votre téléphone est vulnérable, mais il l'est tout autant de comprendre les signes d'une infection potentielle. Bien sûr, l'idéal est de ne jamais en arriver là, car un outil comme Coruna est conçu pour être furtif. Cependant, comme pour toute infection logicielle, il existe parfois des indices comportementaux que l'appareil ne fonctionne pas normalement. Ces signes ne doivent pas paniquer inutilement, mais ils doivent alerter et inciter à une vérification approfondie.
iOS 13 à 17.2.1 : la fenêtre de vulnérabilité de quatre ans
Les ingénieurs de Google ont déterminé que Coruna exploitait une chaîne de failles fonctionnant sur les versions d'iOS comprises entre la 13.0 et la 17.2.1. Cela représente une vaste gamme de modèles, incluant des téléphones relativement anciens comme l'iPhone 6s, l'iPhone 7, l'iPhone SE de première génération, mais aussi des modèles plus récents comme l'iPhone 8, l'iPhone X, et même l'iPhone 15, tant qu'il n'avait pas été mis à jour au-delà de décembre 2023.
Cette période de vulnérabilité de quatre ans montre à quel point les failles zero-day peuvent perdurer si elles ne sont pas découvertes publiquement. Durant tout ce temps, les utilisateurs d'iPhone pensaient être en sécurité avec leur téléphone « à la pomme », alors que certains d'entre eux étaient peut-être déjà infectés sans le savoir. Si vous n'avez pas mis à jour votre téléphone depuis longtemps, ou si vous utilisez un modèle ancien qui ne reçoit plus les dernières mises à jour majeures, vous faites potentiellement partie des cibles privilégiées pour les criminels utilisant des outils comme Coruna.
Surchauffe, batterie qui fond, données qui explosent : les indices à surveiller
Bien que Coruna soit conçu pour être invisible, des chercheurs en sécurité comme Norton ont identifié plusieurs symptômes qui peuvent trahir la présence d'un logiciel espion sur un iPhone. Ces signes ne sont pas spécifiques à Coruna et peuvent avoir des explications bénignes, mais leur apparition soudaine et simultanée doit susciter la méfiance.
Le symptôme le plus courant est la surchauffe. Si votre téléphone devient chaud au toucher alors que vous ne l'utilisez pas intensément, cela peut indiquer qu'un processus en arrière-plan travaille activement, comme l'envoi de données volées vers un serveur distant. De même, une batterie qui se décharge anormalement vite est un signal d'alarme. Surveillez aussi votre consommation de données mobiles : une hausse soudaine et inexpliquée peut signifier qu'une application espion envoie des vidéos ou des photos lourdes sans votre consentement. Enfin, la présence d'applications que vous ne reconnaissez pas ou que vous n'avez pas installées, ou des SMS envoyés depuis votre téléphone sans que vous ne soyez à l'origine, sont des preuves quasi certaines d'un compromis.
La vérité embarrassante : l'infection peut être totalement invisible
Cependant, il faut être honnête avec le lecteur : les signes visibles énumérés ci-dessus ne sont pas une méthode de détection fiable pour un spyware de niveau militaire comme Coruna. Les concepteurs de ces outils savent pertinemment que la surchauffe ou la consommation de batterie sont des indicateurs évidents. Pour cette raison, ils optimisent le code malveillant pour qu'il consomme le moins de ressources possible et qu'il fonctionne en dormant pendant de longues périodes pour éviter d'attirer l'attention.
Un téléphone infecté par Coruna peut fonctionner parfaitement normalement pendant des mois. L'utilisateur continue de prendre des photos, d'envoyer des messages et de naviguer sur le web, ignorant que tout est copié et transmis en parallèle à un tiers. C'est là que réside la dangerosité de ces outils. On ne peut pas compter sur sa propre vigilance pour se protéger. Si un attaquant motivé utilisant Coruna vous cible, il est fort probable que vous ne vous en rendiez compte jamais. La seule véritable protection réside dans la prévention, c'est-à-dire la mise à jour du système d'exploitation pour colmater les failles avant qu'elles ne soient exploitées.
Mode Verrouillage et mises à jour : les seules vraies parades (et leurs limites)
Heureusement, la guerre entre les attaquants et les défenseurs n'est pas perdue d'avance. Apple et la communauté de la sécurité ont réagi à la menace de Coruna en mettant en place des solutions de protection. Cependant, il est important de comprendre que ces parades ont des limites et qu'elles ne sont pas toutes accessibles à tous les utilisateurs selon leur matériel.
La protection idéale repose sur deux piliers : des correctifs logiciels pour empêcher l'exploitation des failles, et des modes de fonctionnement restreints pour limiter les dégâts si une infection survient tout de même. Comprendre ces mécanismes est essentiel pour quiconque souhaite sécuriser son téléphone contre des menaces avancées. Ce n'est pas de la paranoïa, mais une nécessité dans un environnement numérique où les outils de piratage d'État sont devenus monnaie courante.
Le détail qui sauve : Coruna abandonne face au Mode Verrouillage d'Apple
Dans son analyse du code de Coruna, Google a découvert une fonctionnalité fascinante qui pourrait bien être le point faible des opérateurs de cet outil. Le code contient une instruction spécifique qui lui ordonne d'abandonner l'attaque immédiatement si l'iPhone cible est en « Mode Verrouillage » (Lockdown Mode). Ce mode, introduit par Apple en 2022, est conçu pour les utilisateurs qui sont, ou pourraient être, la cible d'attaques numériques hautement sophistiquées, comme les journalistes, les militants ou les politiques.
Le Mode Verrouillage désactive un grand nombre de fonctionnalités complexes qui sont souvent utilisées comme vecteurs d'attaque : les prévisualisations de liens iMessage, les requêtes complexes venant d'inconnus sur FaceTime, et bien d'autres. Face à cette restriction, Coruna préfère ne pas tenter l'infiltration plutôt que de risquer d'échouer et de révéler sa présence. C'est une excellente nouvelle pour les utilisateurs à risque. Activer ce mode, bien qu'il soit contraignant car il limite l'usage du téléphone, offre une protection quasi absolue contre ce type d'attaque zero-click. C'est l'ultime bouclier contre les mercenaires du cyberespace.
iOS 26 et les correctifs de mars 2026 : Apple a (enfin) colmaté la brèche
Pour les utilisateurs qui ne peuvent ou ne veulent pas activer le Mode Verrouillage, la mise à jour logicielle est la seule alternative. Apple a été averti des failles utilisées par Coruna et a travaillé pour les corriger. Les protections complètes ont été intégrées dans iOS 26, sorti en juin 2025. Cependant, pour les millions de personnes possédant des modèles plus anciens qui ne peuvent pas installer cette version ultérieure, la situation était restée précaire.
C'est pourquoi Apple a publié en mars 2026 une série de mises à jour critiques pour les appareils hérités : iOS 15.8.7 et iOS 16.7.15. Ces correctifs concernent spécifiquement les iPhone 6s, iPhone 7, iPhone SE de première génération, iPhone 8 et iPhone X. Si vous possédez l'un de ces modèles, il est impératif d'installer cette mise à jour dès maintenant. Elle ne concerne pas de nouvelles fonctionnalités ou un nouveau design, elle est purement et simplement vitale pour votre sécurité. Ces correctifs empêchent le malware Coruna de s'installer via les failles du navigateur, rendant les attaques zero-click spécifiques à cet outil inopérantes.
EternalBlue 2.0 : quand l'histoire bégaie, l'iPhone devient le nouveau Windows XP
L'histoire de Coruna n'est pas un événement isolé, mais la répétition d'un scénario catastrophique que nous avons déjà vécu par le passé. Pour comprendre l'ampleur du désastre potentiel, il faut se souvenir de 2017 et de l'affaire EternalBlue. Ce parallèle historique est essentiel pour saisir pourquoi les gouvernements ne devraient jamais garder secret des failles de sécurité aussi graves, car elles finissent toujours par se retourner contre les populations qu'ils prétendent protéger.
Cette comparaison entre l'iPhone d'aujourd'hui et les PC Windows d'hier marque un tournant symbolique. Pendant longtemps, l'écosystème Apple s'est targué d'être immunisé contre les virus qui ravageaient le monde Windows. Avec Coruna, ce mythe s'effondre définitivement. L'iPhone, par sa popularité massive et la valeur des données qu'il contient, est devenu une cible tout aussi attractive pour les criminels, et les armes développées pour le percer sont tout aussi destructrices.
2017-2025 : de WannaCry à Coruna, le même scénario catastrophe
En 2017, le monde a découvert avec stupeur l'existence d'EternalBlue. Il s'agissait d'un outil de piratage développé par l'Agence de sécurité nationale américaine (NSA) pour exploiter une faille dans le protocole SMB de Windows. L'outil a été volé par un groupe de hackers baptisé Shadow Brokers et publié en ligne. Quelques semaines plus tard, le malware WannaCry utilisait cette faille pour infecter des centaines de milliers d'ordinateurs dans le monde, paralysant des hôpitaux au Royaume-Uni et des entreprises majeures comme Renault ou FedEx.
Nous sommes aujourd'hui en 2026 et le scénario se répète mot pour mot avec Coruna. Un outil développé probablement par un État occidental fuite, est récupéré par des criminels et des espions étrangers, et sert à attaquer des infrastructures critiques et des citoyens innocents. Comme l'a souligné l'article du Monde, cette prolifération illustre le danger mortel de la rétention des vulnérabilités par les gouvernements. Quand on joue avec le feu cybernétique, on finit toujours par se brûler, et ce sont les populations civiles qui portent les cicatrices.
Le marché florissant des « zero-days de seconde main »
Le marché des failles de sécurité est devenu une économie globale complexe. Une fois qu'une faille comme celle exploitée par Coruna est découverte et utilisée par un acteur initial, elle ne disparaît pas. Elle devient une marchandise qui s'échange, se revend et se réutilise. Les « zero-days de seconde main » sont des vulnérabilités qui ont été patchées par le fabricant (comme Apple), mais qui restent efficaces sur les appareils non mis à jour, ou qui ont été adaptées pour contourner les correctifs.
Ce commerce florissant signifie que Coruna ne sera probablement pas le dernier épisode de ce genre. Tant qu'il existera une demande de la part des dictatures pour espionner leurs opposants, et tant qu'il existera une offre de la part des mercenaires de la cybersécurité pour développer ces outils, le risque de fuite persistera. La structure incitative est perverse : les vendeurs d'outils de piratage gagnent plus d'argent en vendant des exploits très puissants à de multiples clients, légaux ou non, qu'en les gardant confidentiels. Face à cette réalité, la seule défense efficace reste l'hygiène numérique : appliquer les mises à jour dès qu'elles sont disponibles, car une faille connue et corrigée est une porte fermée, tandis qu'une faille cachée est une bombe à retardement.
Conclusion : la fin du mythe de l'iPhone imprenable et nos questions sans réponse
L'épopée de Coruna nous laisse avec un sentiment d'urgence et une profonde désillusion. L'iPhone, cet objet que nous portons sur nous en permanence et qui contient l'intégralité de notre vie numérique, s'est avéré être une forteresse aux murs de papier face à des adversaires déterminés et bien équipés. Ce qui est le plus perturbant dans cette affaire, c'est l'origine probable de l'attaque. Il est d'une ironie cruelle que les outils servant aujourd'hui à voler des portefeuilles crypto en Chine ou à espionner des civils en Ukraine aient pu être financés par les contribuables d'une démocratie occidentale.
Ce scandale jette une lumière crue sur les dérives de l'industrie du renseignement privé et sur l'incapacité des États à sécuriser leurs propres arsenaux numériques. Nous devons accepter une réalité dure : aucune technologie n'est invulnérable. La sécurité absolue est un mythe vendu par des services marketing, pas une réalité technique. Face à des acteurs capables de mobiliser des ressources équivalentes à celles d'une petite entreprise pour percer un téléphone, la protection individuelle est illusoire sans une action collective et systémique.
Apple a-t-il intérêt à corriger les failles… ou à les laisser ouvertes ?
Cette affaire soulève également des questions dérangeantes sur le rôle des géants de la tech, et en particulier d'Apple. L'entreprise se positionne comme le champion de la vie privée, vendant ses appareils sur l'image de la sécurité. Pourtant, on peut s'interroger sur la réactivité d'Apple face à certaines failles. Est-il dans l'intérêt commercial de l'entreprise de corriger instantanément toutes les portes dérobées potentielles ? Il existe une tension permanente entre la nécessité de coopérer avec les services de renseignement (qui réclament souvent un accès « légal ») et la promesse faite au client de protection.
Bien que rien ne prouve qu'Apple ait sciemment laissé la faille utilisée par Coruna ouverte, le délai entre l'apparition de la faille et sa correction couvre plusieurs années. Cette durée s'explique par la difficulté technique de trouver et de réparer les bugs, mais elle profite aussi indéniablement aux attaquants. L'opacité de la « gouvernance des vulnérabilités » ne permet pas de distinguer l'incompétence de la complaisance. Tant que les processus de divulgation et de correction resteront opaques, les utilisateurs resteront en situation de dépendance totale vis-à-vis de la bonne foi des fabricants.
Ce que Coruna nous apprend sur notre sécurité numérique en 2026
Au final, l'affaire Coruna nous offre une leçon brutale mais nécessaire sur notre sécurité numérique en 2026. Nous vivons dans un écosystème mondialisé où les armes numériques circulent aussi librement que la drogue ou l'argent sale. Nos téléphones sont des cibles, non plus seulement pour les pickpockets du métro, mais pour des agences d'État étrangères et des gangs de cybercriminels internationaux. La situation critique de la protection de nos données de localisation par les applications montre que la surface d'attaque est immense.
Pour se protéger, il ne faut plus compter sur la chance, mais sur la rigueur. Mettre à jour son téléphone systématiquement, activer le Mode Verrouillage si l'on est une personne à risque, et adopter une posture de méfiance constante face aux sollicitations numériques sont les seuls recours. Mais surtout, Coruna doit nous rappeler que la sécurité est un bien public qui ne doit pas être laissé à la discrétion des seuls États ou des entreprises. Tant que nous tolérerons l'existence d'armes numériques non régulées, nous courrons le risque que, demain, ce ne soit plus seulement une boîte à outils qui fuie, mais la totalité de notre vie privée.
