CTI & OSINT

Logiciels espions ciblant les applications de messagerie mobile sécurisée

by  • 

Executive Summary : Des acteurs malveillants exploitent des logiciels espions commerciaux pour cibler les utilisateurs d’applications de messagerie mobile chiffrée. Leurs opérations combinent des vulnérabilités zero-day et des techniques d’ingénierie sociale sophistiquées (exploitation de QR codes malveillants, attaques « zero-click », applications factices) afin de compromettre les comptes de messagerie des victimes et d’accéder à des données sensibles. Une fois la messagerie compromise, des charges utiles additionnelles sont déployées pour prendre le contrôle du dispositif mobile de la cible et approfondir l’exfiltration de données. Ces campagnes, bien qu’opportunistes, visent en priorité des individus de haut niveau – responsables gouvernementaux, militaires, politiques – ainsi que des membres de la société civile, répartis aux États-Unis, au Moyen-Orient et en Europe. L’incident est jugé critique compte tenu de la sophistication des méthodes employées et de la nature sensible des cibles, et requiert une application immédiate des mesures de mitigation recommandées.

Contexte technique

En 2025, les agences de cybersécurité constatent une recrudescence des campagnes d’espionnage mobile menées par des acteurs étatiques ou des groupes avancés. Ces menaces s’appuient sur des logiciels espions dits « de grade commercial » (commercial spyware) permettant d’intercepter discrètement les communications chiffrées. Un bulletin récent du CISA alerte que plusieurs cyber acteurs exploitent ce type de spyware pour cibler les applications de messagerie mobile sécurisée. Ils cherchent à accéder aux conversations privées échangées via des messageries chiffrées de bout en bout, en contournant les protections applicatives. Après infiltration de l’application de messagerie, les attaquants déploient des charges malveillantes supplémentaires afin de compromettre l’ensemble de l’appareil de la victime et d’en extraire un maximum de données. Ce mode opératoire s’inscrit dans une tendance plus large d’utilisation de logiciels espions sophistiqués (Pegasus, FinFisher, etc.) par des acteurs malveillants cherchant à surveiller des individus stratégiques sous couvert d’opérations de « renseignement légal ».

Vulnérabilités exploitées

Les attaques identifiées tirent parti de vulnérabilités critiques, souvent inconnues (zero-day), au sein des applications de messagerie ou de leurs plateformes sous-jacentes. Ces failles permettent une compromission à distance sans interaction de l’utilisateur (exploits de type zero-click). Par exemple, la campagne LANDFALL a exploité CVE-2025-21042, une vulnérabilité 0-day du module de traitement d’images sur les appareils Samsung, en diffusant des fichiers image DNG piégés via WhatsApp. Cette faille critique permettait l’exécution de code à distance lors du simple traitement d’une image reçue, et a été activement utilisée avant son correctif en avril 2025. De même, en août 2025, une chaîne d’exploitation ciblant iOS a combiné une faille de parsing d’images CVE-2025-43300 avec une vulnérabilité WhatsApp CVE-2025-55177 (permettant de forcer le chargement de contenu depuis une URL) pour exécuter du code arbitraire sans clic via l’envoi d’une image malveillante. L’association de ces deux failles a autorisé une compromission zero-click d’iPhones via WhatsApp, jusqu’à ce que des correctifs d’urgence soient déployés fin 2025. Outre les vulnérabilités logicielles, certaines fonctions légitimes ont également été détournées : par exemple, la fonctionnalité d’appareil lié de Signal (qui permet d’associer des terminaux additionnels à un compte) a été abusée pour espionner des comptes sans exploiter de bug logiciel (voir section TTP ci-dessous). En exploitant de telles failles ou fonctionnalités détournées, les attaquants parviennent à outrepasser le chiffrement de bout en bout et à injecter leurs implants espions directement au cœur des applications de messagerie.

Techniques d’attaque (TTPs)

Les techniques, tactiques et procédures employées par ces acteurs combinent ingénierie sociale et exploits avancés. Les principales méthodes d’intrusion observées sont :

  • Hameçonnage ciblé et QR codes malveillants : Les attaquants utilisent des campagnes de phishing conçues pour compromettre les comptes de messagerie. L’une des tactiques clés consiste à exploiter le mécanisme d’association multi-appareils de certaines messageries. Par exemple, des groupes liés à la Russie ont envoyé aux cibles des faux QR codes à scanner, présentés comme des liens d’invitation ou des alertes de sécurité Signal légitimes. En réalité, le scan de ces QR codes lie le compte Signal de la victime à un appareil contrôlé par l’attaquant, permettant à ce dernier de recevoir en temps réel toutes les conversations de la victime sans avoir besoin de compromettre entièrement l’appareil. Ce procédé d’hameçonnage par QR code, dépourvu de signature technique détectable, fournit un accès persistant aux messages chiffrés de la cible tout en restant difficile à repérer. Des campagnes de phishing plus classiques via liens malveillants ont également été utilisées pour inciter les victimes à installer des applications espion ou à divulguer des codes de sécurité.
  • Exploits zero-click (sans interaction) : Les cyber acteurs ont tiré parti de failles critiques permettant l’exécution de code à distance sans aucune action de la victime. Ces attaques zero-click exploitent généralement des vulnérabilités des applications de messagerie dans le traitement de certains contenus (images, appels VoIP, fichiers). Par exemple, l’exploitation d’une image DNG piégée envoyée sur WhatsApp ou iMessage peut suffire à infecter le téléphone de la cible (cas des implants Pegasus et LANDFALL). Dans ce mode opératoire, le simple fait de recevoir le message malveillant suffit à compromettre l’appareil, contournant ainsi toutes les mesures de sensibilisation de l’utilisateur. En 2025, plusieurs 0-day de ce type ont été découverts et corrigés en urgence (cf. CVE-2025-21042, CVE-2025-55177 mentionnées ci-dessus), soulignant l’importance de maintenir les applications à jour pour contrer ces exploits.
  • Impersonation et applications factices : Une autre technique consiste à usurper l’identité de plateformes de messagerie pour duper l’utilisateur. Les assaillants ont développé de faux sites web et de fausses applications mobiles imitant des services légitimes (Signal, WhatsApp, Telegram, etc.) afin de pousser les cibles à installer le logiciel espion déguisé en application de confiance. Récemment, deux campagnes Android baptisées “ProSpy” et “ToSpy” ont ainsi diffusé de prétendus plugins de chiffrement pour Signal et une version “Pro” de ToTok, alors qu’il s’agissait de spywares inconnus des stores officiels. Les APK malveillants étaient distribués via des sites frauduleux se faisant passer pour le site officiel de Signal (ex. signal.ct[.]ws, encryption-plug-in-signal.com-ae[.]net) ou pour le store Samsung Galaxy. De même, le spyware ClayRat a été propagé via des canaux Telegram et des pages web de phishing, en se faisant passer pour des applications populaires telles que WhatsApp, YouTube ou TikTok. Les victimes pensant installer l’application légitime installaient en réalité le logiciel espion. L’usurpation d’identité s’étend aussi aux communications elles-mêmes : des campagnes malveillantes envoient de fausses alertes de sécurité ou de faux messages de vérification (par exemple au nom de WhatsApp) pour inciter l’utilisateur à révéler un code d’authentification ou à cliquer sur un lien infectieux. Cette panoplie de techniques d’imitation et de social engineering exploite la confiance de l’utilisateur dans les marques connues pour déjouer sa vigilance.

Ciblage des victimes

Bien que certaines de ces opérations touchent un large éventail d’utilisateurs de messageries, les acteurs malveillants semblent concentrer leurs efforts sur des cibles à haute valeur, susceptibles de détenir des informations sensibles. D’après le CISA, les individus visés incluent en priorité des personnalités politiques et des responsables gouvernementaux (actuels ou anciens), des officiers militaires de haut rang, ainsi que des acteurs de la société civile (journalistes, défenseurs des droits, membres d’ONG). Géographiquement, des victimes ont été identifiées en Amérique du Nord (États-Unis), au Moyen-Orient (par ex. Émirats arabes unis) et en Europe, reflétant la portée mondiale de ces campagnes. Par exemple, une enquête récente a révélé une campagne de spyware ciblant des utilisateurs d’applications de messagerie aux Émirats arabes unis via les faux services Signal/ToTok mentionnés (campagnes ProSpy/ToSpy). La menace est telle qu’en juin 2025, le Congrès américain a interdit l’application WhatsApp sur les appareils de ses membres et collaborateurs suite à des alertes de sécurité. Par ailleurs, le fabricant du spyware Pegasus (NSO Group) fait l’objet de poursuites judiciaires après avoir infecté illégalement des utilisateurs de WhatsApp à travers le monde. Ces exemples illustrent le niveau de risque jugé inacceptable pour les instances gouvernementales et la volonté de contrer l’espionnage numérique visant les décideurs. De manière générale, toute personne disposant d’accès à des informations stratégiques – qu’elles soient politiques, économiques ou relatives aux droits humains – constitue une cible potentielle pour ces menaces sophistiquées.

Implants espion utilisés

Plusieurs familles de spyware mobile dites « premium » ont été identifiées au cours de ces incidents, combinant des capacités d’espionnage avancées et des modes de distribution variés. Pegasus, développé par NSO Group (Israël), est emblématique de ces outils : ce logiciel espion de niveau étatique utilise des exploits zero-click sur iOS et Android (ex. failles iMessage, WhatsApp) pour infecter les smartphones sans laisser de trace visible, et a été employé dans de multiples campagnes d’espionnage visant diplomates, journalistes et militants à travers le monde. Hermit, conçu par la société italienne RCS Lab, est un autre exemple : dévoilé en 2022, il a été déployé via de faux messages d’opérateurs télécom incitant à installer une prétendue mise à jour, ce qui a permis d’espionner des utilisateurs en Italie, au Kazakhstan et en Syrie. FinFisher (FinSpy), produit par Gamma Group (R.-U.), compte également parmi les outils de surveillance « légale » qui ont été largement détournés pour espionner des journalistes et dissidents politiques. Ces logiciels espions commerciaux, vendus à l’origine à des agences gouvernementales sous couvert d’interception légale, ont souvent été abusés par des régimes autoritaires ou des groupes affiliés, comme le confirme l’analyse de Lookout et d’autres chercheurs.

À côté de ces outils désormais bien connus, de nouvelles menaces ont émergé en 2024-2025. Le spyware LANDFALL, découvert par Unit 42, illustre cette nouvelle génération. Spécifiquement conçu pour les appareils Android Samsung Galaxy, LANDFALL a été utilisé lors d’intrusions ciblées au Moyen-Orient. Il offre une panoplie complète de fonctions d’espionnage : enregistrement du microphone, suivi de la localisation GPS, collecte des photos, contacts, messages et historiques d’appels de la victime. Sa chaîne d’infection s’appuie sur un exploit zero-day (CVE-2025-21042) déclenché par un simple fichier image .DNG malveillant envoyé via WhatsApp, permettant une exécution de spyware sans consentement de l’utilisateur. LANDFALL est ainsi parvenu à opérer furtivement pendant des mois avant d’être révélé, soulignant la difficulté de détecter ce type d’attaque.

Autre menace récente, ClayRat est un spyware Android identifié en 2025, se distinguant par sa rapidité de propagation et sa cible inhabituelle : il vise principalement les utilisateurs russes. ClayRat se diffuse par applications factices distribuées via des canaux Telegram et des sites web frauduleux, en se faisant passer pour des applications légitimes très répandues (WhatsApp, Google Photos, TikTok, YouTube, etc.). Une fois installé, ce malware active un large éventail de fonctions malveillantes : vol des SMS, des journaux d’appels et des notifications, prise de photos à distance via la caméra, et même émission de messages ou d’appels depuis l’appareil infecté. Sa particularité réside dans son mode de propagation : il exploite l’accès SMS du téléphone compromis pour envoyer à tous les contacts de la victime un lien malveillant, démultipliant ainsi son rayon d’action de manière virale. En l’espace de quelques mois, plus de 600 échantillons et 50 variantes de ClayRat ont été recensés, chaque itération affinant les techniques d’obfuscation pour échapper aux antivirus. Cela illustre la volonté des opérateurs de ce spyware de faire évoluer en continu leur code pour rester indétectables.

Enfin, des campagnes d’espionnage mobile ciblées sur la région du Golfe ont révélé de nouvelles familles de spyware Android en 2025, distinctes des précédentes. Notamment, la campagne ProSpy/ToSpy évoquée plus haut a mis au jour deux implants jusque-là inconnus, déguisés en mises à jour pour Signal et ToTok. Découverte par ESET, cette opération a ciblé des utilisateurs aux Émirats arabes unis et employait des variantes de malwares capables de dérober messages, enregistrements d’appels, fichiers et autres données personnelles. Bien que les détails techniques de ProSpy et ToSpy n’aient pas été entièrement publiés, leur existence confirme la prolifération d’outils espions sur étagère, développés par des acteurs sophistiqués et mis à profit dans différentes régions du monde. Dans l’ensemble, la diversité de ces implants – qu’ils soient fournis par des entreprises spécialisées (NSO, RCS Lab, Gamma) ou développés clandestinement – démontre un écosystème florissant de l’espionnage numérique ciblant les communications privées. Chacun de ces spyware présente des vecteurs d’infection et des fonctionnalités spécifiques, mais tous poursuivent un même but : fournir aux attaquants un accès total aux communications et aux données mobiles des cibles tout en demeurant le plus furtif possible.

Indicateurs de compromission (IoC)

Plusieurs indicateurs techniques permettent d’identifier ces activités malveillantes. Les domaines internet malveillants figurent parmi les IoC importants : dans le cas des campagnes ProSpy/ToSpy, les chercheurs ont relevé des domaines web imitant étroitement des services légitimes de messagerie, tels que signal.ct[.]ws ou encryption-plug-in-signal.com-ae[.]net – utilisés pour héberger les faux fichiers d’installation Signal. De même, le schéma de nommage des fichiers peut constituer un indice : les images .DNG vérolées employées par LANDFALL portaient des noms du type “WhatsApp Image YYYY-MM-DD ….jpg”, suggérant un envoi via WhatsApp. Ce détail concorde avec les rapports antérieurs sur l’exploitation d’images malveillantes dans WhatsApp, y compris contre des appareils Apple. Par ailleurs, les identifiants CVE des vulnérabilités exploitées (par ex. CVE-2025-21042, CVE-2025-55177) sont des indicateurs utiles : la présence de ces failles non corrigées sur un appareil ou une tentative d’exploitation correspondante peut signaler une attaque en cours. En matière d’IoC réseau, l’analyse des communications sortantes peut révéler des connexions vers des serveurs de commande et contrôle connus associés à ces spyware, bien que ceux-ci utilisent souvent des infrastructures éphémères ou usurpées (par ex. serveurs hébergés chez des fournisseurs cloud légitimes). Enfin, certains comportements systèmes anormaux peuvent alerter sur une compromission : une activation inexpliquée du microphone, l’apparition d’une application non installée depuis un store officiel, la réception de messages de vérification intempestifs, ou encore l’envoi massif de SMS depuis le téléphone de la victime sont autant de signaux faibles potentiels d’un implant espion actif. La détection de ces IoC doit inciter à une investigation approfondie et à l’isolement immédiat du périphérique affecté.

Mesures de mitigation

Face à ces menaces sophistiquées, le CISA recommande une série de mesures de sécurité préventives pour les utilisateurs, en particulier ceux à haut risque :

  • Utiliser exclusivement des messageries chiffrées de bout en bout éprouvées : Adoptez des applications de messagerie sécurisées offrant un chiffrement de bout en bout par défaut (p. ex. Signal, WhatsApp à jour), de préférence interopérables entre iOS et Android. Privilégiez les applications reconnues pour leur transparence et mises à jour fréquentes de sécurité.
  • Redoubler de vigilance contre l’ingénierie sociale : Méfiez-vous des messages inattendus prétendant des problèmes de compte ou de sécurité. Ne scannez jamais de QR code ou lien de groupe provenant d’une source non vérifiée, même s’il semble provenir d’un contact ou d’une application de confiance. En cas d’invitation à un nouveau groupe ou à une fonctionnalité, confirmez-en l’origine via un canal alternatif (appel téléphonique direct à l’émetteur connu, etc.). De même, traitez avec suspicion toute alerte de sécurité in-app sollicitant un code d’authentification ou un PIN : les messageries légitimes n’envoient généralement pas de telles demandes spontanées.
  • Contrôler régulièrement les appareils liés : Sur les applications offrant la synchronisation multi-appareils (WhatsApp, Signal, Telegram…), inspectez la liste des appareils connectés à votre compte dans les paramètres. Limitez le nombre d’appareils autorisés et révoquez immédiatement tout appareil inconnu ou non utilisé. Cette simple vérification permet de détecter et stopper un espion qui aurait associé clandestinement son propre appareil à votre compte.
  • Activer une authentification forte et réduire la dépendance aux SMS : Équipez vos comptes sensibles (messageries, emails) d’une authentification multifacteur robuste, idéalement des clés de sécurité physiques conformes FIDO2 (Yubikey, Titan Key, etc.). Une fois ces méthodes en place, désactivez les méthodes moins sécurisées (codes OTP par SMS ou email) qui peuvent être détournées (phishing, interception SS7). Les clés matérielles offrent une protection élevée contre le vol de compte, rendant quasi-impossible le détournement d’une session même si un attaquant obtient votre mot de passe.
  • Sécuriser l’accès à votre ligne mobile : Mettez en place un code PIN ou mot de passe sur votre compte auprès de votre opérateur téléphonique pour empêcher les attaques de SIM swap (usurpation de carte SIM). Cette mesure complique fortement la tâche d’un adversaire tentant de détourner votre numéro (et donc de recevoir vos SMS de vérification). En parallèle, évitez d’utiliser votre numéro de téléphone comme identifiant unique lorsque cela n’est pas nécessaire.
  • Appliquer les mises à jour logiciels sans délai : Maintenez le système d’exploitation de votre smartphone et vos applications de messagerie à jour en installant immédiatement les correctifs disponibles. Activez les mises à jour automatiques hebdomadaires si possible. Beaucoup d’attaques zero-day connues sont neutralisées une fois le correctif déployé ; le vrai risque provient des appareils non mis à jour. Un cycle de mise à jour rigoureux réduit significativement la surface d’attaque exploitable.
  • Utiliser des appareils mobiles modernes : Dans la mesure du possible, optez pour des terminaux récents offrant les dernières améliorations de sécurité matérielles (enclave sécurisée, isolation mémoire, etc.) et bénéficiant d’un support logiciel prolongé. Les nouveaux modèles haut de gamme reçoivent généralement des mises à jour de sécurité mensuelles pendant au moins cinq ans. À l’inverse, les appareils plus anciens ou d’entrée de gamme peuvent ne plus recevoir de correctifs réguliers, ce qui laisse des failles ouvertes exploitées par les logiciels espions. Investir dans un appareil plus récent et maintenu à jour est donc une mesure de mitigation stratégique pour les individus à risque élevé.

En complément de ces mesures, il est conseillé aux organisations d’éduquer leurs équipes sensibles (personnel gouvernemental, journalistes, etc.) sur les menaces liées aux messageries chiffrées et les bonnes pratiques à adopter. La défense contre les spyware mobiles nécessite une vigilance de tous les instants, des outils sécurisés à jour, et une hygiène numérique renforcée. En appliquant rigoureusement ces recommandations de sécurité, les utilisateurs réduiront significativement les chances de succès de ces campagnes d’espionnage sophistiquées.

Références :

  1. CISA Alert (24 novembre 2025) – « Spyware Allows Cyber Threat Actors to Target Users of Messaging Applications » : https://www.cisa.gov/news-events/alerts/2025/11/24/spyware-allows-cyber-threat-actors-target-users-messaging-applications
  2. Google Threat Intelligence (Dan Black) – « Multiple Russia-Aligned Threat Actors Actively Targeting Signal Messenger » (blog), 19 février 2025 : https:///blog/topics/threat-intelligence/russia-targeting-signal-messenger/
  3. Unit 42, Palo Alto Networks – « LANDFALL: New Commercial-Grade Android Spyware in Exploit Chain Targeting Samsung Devices » (blog), 7 novembre 2025 : https:///landfall-is-new-commercial-grade-android-spyware/
  4. BleepingComputer (Bill Toulas) – « Android spyware campaigns impersonate Signal and ToTok messengers », 2 octobre 2025 : https://www./news/security/android-spyware-campaigns-impersonate-signal-and-totok-messengers/
  5. Zimperium (Vishnu Pratapagiri) – « ClayRat: A New Android Spyware Targeting Russia » (blog), 9 octobre 2025 : https:///blog/clayrat-a-new-android-spyware-targeting-russia/
  6. Lookout Threat Intelligence – « Lookout Uncovers Hermit Spyware Deployed in Kazakhstan », 16 juin 2022 : https://www./threat-intelligence/article/hermit-spyware-discovery
  7. Reuters (Courtney Rozen) – « WhatsApp Banned on US House of Representatives Devices, Memo Shows », 23 juin 2025 : https://www.reuters.com/world/us/whatsapp-banned-us-house-representatives-devices-memo-2025-06-23/
  8. The Record (Suzanne Smalley) – « Judge Bars NSO from Targeting WhatsApp Users with Spyware, Reduces Damages in Landmark Case », 20 octobre 2025 : https://therecord.media/judge-bars-nso-from-targeting-whatsapp-users-lowers-damages
  9. CISA – « Mobile Communications Best Practice Guidance » (version 2.0, 24 novembre 2025) : PDF (TLP: CLEAR, 5 pages)