Apple

Actualites

Coruna : un kit d'exploitation ayant échappé à ses créateurs

Le kit d'exploitation Coruna, conçu pour espionner les terminaux iOS, semble trouver son origine outre-Atlantique. D'où il aurait échappé à ses créateurs avant construire une nouvelle vie, indépendante.

Valéry Rieß-Marchive
par
Publié le: 10 mars 2026

L'analyse technique du kit de piratage « Coruna » pointe vers une origine militaire américaine. L3Harris, par sa division Trenchant, apparaît comme le développeur principal de ce kit. Deux anciens employés de la société ont confirmé à nos confrères de TechCrunch que « Coruna était effectivement le nom interne d'un composant ». 

Les outils de Trenchant sont vendus exclusivement aux alliés du pacte des « Five Eyes ». La brèche ne s'est pas faite par une faille d'infrastructure externe, mais potentiellement par une trahison interne.

Les circonstances renvoient à un incident ayant impliqué Peter Williams, ancien directeur général de Trenchant. Il a admis avoir vendu huit outils de la société à l'intermédiaire russe « Operation Zero » pour 1,3 million de dollars. Les procureurs américains ont déclaré qu'il avait « trahi les États-Unis d'Amérique » et leurs alliés. 

Une chaîne de revente émerge alors : de Trenchant, les outils sont passés à Peter Williams, puis à Operation Zero (identifié comme le groupe russe UNC6353), avant d'être revendus au cybercrime financier chinois (UNC6691). Un tel enchaînement démontre l'impossibilité de garantir l'intégrité physique et logique des outils de surveillance une fois qu'ils quittent le périmètre de l'État acquéreur. Ce que de nombreux acteurs de la cybersécurité n'ont pas manqué de souligner à de nombreuses reprises.

La nature de la menace a radicalement changé. Initialement conçue pour viser des dignitaires et des objectifs géopolitiques limités, Coruna est désormais déployée dans des campagnes de masse visant le vol financier. 

Le « marché de l'occasion » des vulnérabilités 0-day a permis de transformer une arme de guerre froide numérique en outil de vol de crypto-monnaies. La distinction entre les cibles gouvernementales et les cibles commerciales s'efface. Pour les entreprises, cela signifie que la frontière entre la guerre d'espionnage et le vol financier est désormais poreuse ; tout parc mobile constitue une cible accessible, rendant la défense périmétrique traditionnelle insuffisante.

Pour approfondir sur Menaces, Ransomwares, DDoS