Coruna repose sur 23 vulnérabilités, dont certaines encore jamais documentées. L’infection se déclenchait lors de la consultation d’un site Internet piégé, dans lequel un code malveillant avait été injecté. Aucun clic, aucun téléchargement : la visite suffisait pour installer un logiciel espion sur l’iPhone visé.
 
L’outil fonctionnait sur les appareils utilisant iOS 13.0 à 17.2.1, des versions publiées jusqu’en décembre 2023. Les solutions capables de contourner les protections des iPhone restent rares, ce qui souligne le niveau technique de ce dispositif.
 
Les chercheurs ont identifié un module de comptage de visiteurs compromis sur un site très fréquenté en Ukraine. Ce détail laisse supposer un usage par un service de renseignement russe.
 
Origine incertaine, diffusion internationale
 
Malgré cette piste, l’origine du programme demeure floue. Les commentaires présents dans son code sont rédigés en anglais natif, ce qui écarte l’hypothèse d’un développement russe. Certains spécialistes évoquent une possible conception par, ou pour, un service occidental.
 
Au-delà du contexte ukrainien, Coruna a aussi été utilisé pour viser des internautes chinois. De nombreux sites en langue chinoise, présentés comme des plateformes de vente de cryptomonnaies, ont été piégés afin de dérober des actifs numériques.
Cette double utilisation, à des fins d’espionnage et de cybercriminalité, montre la circulation rapide d’outils offensifs entre sphère étatique et réseaux criminels.
 
Le débat relancé sur les failles secrètes
 
L’affaire relance la question sensible des vulnérabilités gardées secrètes par certains États. Une large majorité de chercheurs en sécurité plaident pour une divulgation rapide aux éditeurs afin que les correctifs soient déployés sans délai.
 
Un précédent marquant reste celui d’« EternalBlue », outil dérobé en 2017 à la National Security Agency américaine, qui avait servi de base aux attaques massives WannaCry et NotPetya.