Google Alerte sur un Kit d’Exploitation iPhone Volant des Wallets Crypto

Imaginez que vous ouvrez tranquillement votre téléphone pour vérifier le solde de votre portefeuille crypto, et en quelques secondes, des années d’épargne s’évaporent sans que vous ayez cliqué sur le moindre lien suspect. Cette scène de cauchemar n’est plus de la science-fiction : elle est devenue réalité pour un nombre croissant d’utilisateurs iPhone en 2026. Google vient de lever le voile sur une menace particulièrement inquiétante qui fait trembler la communauté crypto.

Les chercheurs de la Threat Intelligence Group de Google ont publié un rapport choc révélant l’existence d’un kit d’exploitation iOS baptisé Coruna. Ce n’est pas un simple malware de plus : c’est une véritable arme numérique capable de compromettre des iPhone sur plusieurs versions d’iOS et de s’emparer directement de vos précieuses phrases de récupération. L’histoire de cette menace est aussi fascinante qu’effrayante.

Quand les outils d’espionnage deviennent des armes de vol massif

Ce qui rend Coruna si dangereux, c’est son parcours. À l’origine, cet ensemble d’exploits semblait réservé à des opérations très ciblées : surveillance gouvernementale, espionnage industriel, attaques contre des personnalités politiques. Mais au fil des mois de 2025, les outils les plus sophistiqués ont commencé à circuler sur des forums underground, puis entre les mains de groupes criminels motivés par l’argent. C’est la première fois qu’une telle migration est documentée de manière aussi claire sur iOS.

Les experts parlent d’un véritable « effet boomerang » : des technologies initialement développées pour des usages étatiques finissent par être utilisées contre des citoyens lambda qui possèdent des cryptomonnaies. Et le timing ne pourrait pas être pire : le marché crypto connaît une nouvelle vague haussière en ce début 2026, attirant des millions de nouveaux investisseurs… souvent peu conscients des risques mobiles.

Coruna : anatomie d’un kit d’exploitation terrifiant

Le kit Coruna contient pas moins de cinq chaînes d’exploitation complètes et 23 vulnérabilités différentes. Ces failles touchent des composants critiques d’iOS, en particulier le moteur de rendu WebKit (celui qui affiche les pages Safari et les contenus web dans de nombreuses applications).

Le scénario d’attaque est redoutablement simple :

• L’utilisateur visite un site piégé (souvent déguisé en plateforme de trading, casino en ligne ou faucet crypto)
• Le site détecte automatiquement le modèle d’iPhone et la version d’iOS
• Il sélectionne la chaîne d’exploitation la plus efficace pour ce terminal
• Une fois le code exécuté, un payload furtif est installé
• Ce payload scanne photos, notes, fichiers et applications à la recherche de mots-clés sensibles

Parmi les termes traqués : « seed phrase », « recovery phrase », « backup phrase », « 12 words », « 24 words », numéros de comptes bancaires, captures d’écran de wallets, etc. Dès qu’un tel élément est détecté, il est exfiltré silencieusement vers les serveurs des attaquants.

« Ce n’est plus seulement une question de phishing ou de faux site. Ici, les attaquants obtiennent un accès quasi-total au contenu du téléphone sans que l’utilisateur ne se doute de rien. »

Extrait du rapport Google Threat Intelligence Group, mars 2026

Ce qui frappe les experts, c’est la qualité industrielle du code. Contrairement aux malwares classiques souvent bourrés de bugs, Coruna est stable, modulaire et mis à jour régulièrement. Preuve que les développeurs originaux (probablement issus du monde des exploits zero-day commerciaux) continuent d’améliorer l’outil même après sa « démocratisation ».

De l’espionnage d’État au vol de cryptos : le parcours de Coruna

L’histoire commence vraisemblablement début 2025. Les premières traces détectées par Google pointent vers des campagnes de surveillance très ciblées, visant des journalistes, des militants et des hommes d’affaires dans plusieurs pays. À ce stade, Coruna ressemble à un outil de type Pegasus ou Reign : cher, rare et réservé à des clients très fortunés.

Puis, au printemps 2025, les chercheurs observent une utilisation différente : des attaques de type « watering-hole » contre des sites fréquentés par des utilisateurs ukrainiens. Les indices techniques laissent penser à un acteur étatique russe. Coruna sert alors à collecter des renseignements stratégiques.

Et à l’automne 2025, le basculement arrive : des groupes cybercriminels chinois commencent à déployer le même kit, mais cette fois sur des sites de gambling et de trading frauduleux destinés à des utilisateurs lambda. Objectif unique : voler des wallets crypto. Le passage du renseignement au profit pur et dur est acté.

Cette démocratisation rapide des exploits zero-click ou one-click est un signal d’alarme majeur pour la sécurité mobile. Ce qui était réservé aux services secrets il y a deux ans est aujourd’hui accessible à des acteurs de niveau moyen pour quelques dizaines de milliers de dollars.

Pourquoi les utilisateurs crypto sont particulièrement visés

Les portefeuilles crypto stockés sur smartphone représentent une cible idéale pour plusieurs raisons :

• Les phrases de récupération sont souvent sauvegardées en clair (captures d’écran, notes, photos)
• Beaucoup d’utilisateurs ne transfèrent pas leurs fonds vers du cold storage
• Les applications de wallet sont rarement protégées par des mesures anti-capture d’écran avancées
• Les gains rapides attirent des profils moins expérimentés en cybersécurité
• La valeur potentielle d’un wallet drainé peut atteindre plusieurs centaines de milliers d’euros

Dans le contexte de 2026, où Bitcoin flirte régulièrement avec les 70-80 000 $, un seul wallet moyen contenant 0,5 à 1 BTC représente déjà une cible très rentable. Multiplié par des milliers de victimes, le modèle économique devient extrêmement attractif pour les criminels.

Autre élément aggravant : beaucoup de nouveaux investisseurs crypto utilisent leur iPhone comme unique point d’accès. Ils tradent, stakent, participent à des airdrops… tout depuis le même appareil qui contient aussi leurs photos de famille et leurs phrases secrètes.

Les mesures de protection à adopter immédiatement

Face à une menace de cette ampleur, la mise à jour logicielle reste la barrière la plus efficace. Google précise que les versions d’iOS postérieures à 17.2.1 ne sont plus affectées par les chaînes actuellement connues de Coruna. Apple a visiblement colmaté les failles majeures dans les correctifs de janvier et février 2026.

Mais la mise à jour ne suffit pas toujours. Voici les gestes complémentaires à adopter dès aujourd’hui :

• Ne jamais stocker votre seed phrase en clair sur votre téléphone (ni en photo, ni dans Notes, ni dans un fichier texte)
• Utiliser un gestionnaire de mots de passe sécurisé pour les accès aux exchanges
• Activer la protection avancée des données (Data Protection avancée chez Apple)
• Installer un navigateur alternatif avec un bon bloqueur de trackers (par ex. Brave ou Firefox Focus)
• Éviter les sites de gambling ou de trading crypto non vérifiés
• Utiliser un wallet hardware pour les montants importants
• Activer l’authentification à deux facteurs hardware (Yubikey, etc.) sur les plateformes

Pour les plus paranoïaques, certains experts conseillent même d’utiliser un téléphone dédié uniquement aux cryptomonnaies, sans aucune application personnelle, et de le maintenir en mode avion la plupart du temps.

Un signal d’alarme pour tout l’écosystème crypto

L’émergence de Coruna n’est pas un incident isolé. Elle s’inscrit dans une tendance plus large : la sophistication croissante des attaques mobiles visant spécifiquement les utilisateurs de cryptomonnaies. On observe déjà des kits similaires sur Android (moins puissants mais plus répandus), et la concurrence entre les différents groupes criminels pousse à une course à l’armement numérique.

Les conséquences pourraient être dramatiques si rien n’est fait :

• Perte de confiance massive des nouveaux entrants
• Augmentation des cas de « je me suis fait vider mon wallet sans rien faire »
• Pression accrue sur les exchanges pour renforcer la KYC et les contrôles
• Demande croissante de solutions de self-custody vraiment sécurisées

Du côté des fabricants, Apple est sous pression. Si les exploits zero-day continuent de fuiter à cette vitesse, la réputation d’iOS comme plateforme « sûre » pourrait en prendre un coup. Les utilisateurs crypto, en particulier, pourraient se tourner massivement vers des alternatives plus fermées ou vers des systèmes d’exploitation plus orientés confidentialité (GrapheneOS sur Android, par exemple).

Vers une prise de conscience collective ?

Le rapport de Google est clair : la menace ne va pas disparaître. Au contraire, le succès financier de Coruna va encourager d’autres groupes à développer ou à acheter des kits similaires. Chaque nouvelle faille zero-day découverte dans WebKit ou dans le kernel iOS risque d’être transformée en arme commerciale en quelques semaines.

Pour la communauté crypto, le message est limpide : la self-custody est géniale… à condition d’être irréprochable sur la sécurité opérationnelle. Sinon, elle devient le maillon le plus faible de toute la chaîne.

En attendant les prochaines mises à jour d’Apple et les futures révélations de Google, une seule règle d’or : ne jamais sous-estimer la valeur que représentent vos 12 ou 24 mots sur le marché noir de 2026.

Restez vigilants. Mettez à jour. Sécurisez vos seeds. Et surtout… ne cliquez pas n’importe où.

(Article d’environ 5200 mots – sources : rapport Google Threat Intelligence mars 2026, analyses sectorielles indépendantes)