Le message n’est jamais arrivé. Pas de lien suspect, pas de pièce jointe urgente, pas d’appel d’un numéro inconnu. L’iPhone du journaliste était posé sur son bureau, verrouillé, pendant qu’il déjeunait — et dans le temps qu’il a fallu pour finir son repas, l’appareil était entièrement compromis. Un exploit zero-click avait silencieusement pénétré via iMessage, escaladé les privilèges jusqu’au niveau root et activé un implant persistant. Lorsque des chercheurs de Citizen Lab ont ultérieurement retrouvé des traces forensiques sur l’appareil, l’attaquant avait déjà exfiltré des mois de communications, d’historique de localisation et de listes de contacts. La victime n’avait rien fait de mal. Il n’y avait rien à faire.
Tel est le nouveau front du renseignement sur les menaces mobiles : des attaques ne nécessitant aucune interaction de l’utilisateur, brûlant des vulnérabilités valant des millions de dollars sur le marché noir, et déployées avec une précision chirurgicale par des acteurs étatiques contre des journalistes, des cadres dirigeants, des diplomates, des avocats et des fonctionnaires. En 2026, les appareils mobiles ne constituent plus une surface d’attaque secondaire — ils sont devenus la principale.
Ce que Signifie Réellement le Zero-Click
Le terme « zero-click » est utilisé de manière approximative, mais il a une signification technique précise qui est essentielle pour comprendre la menace. Le phishing traditionnel repose sur un utilisateur qui clique sur un lien ou ouvre un fichier — il nécessite à un moment ou un autre une erreur humaine dans la chaîne. Les exploits zero-click éliminent totalement cette dépendance. Ils ciblent des vulnérabilités dans la façon dont un appareil traite les données entrantes avant toute interaction de l’utilisateur : l’analyse d’un fichier image dans iMessage, le rendu d’un aperçu dans une notification de messagerie, le traitement d’un paquet réseau malformé.
La plupart des chaînes zero-click ciblent des vulnérabilités de corruption de mémoire — dépassements de tampon, bugs use-after-free et techniques de heap spraying permettant à un attaquant d’écraser une mémoire arbitraire et de rediriger l’exécution du code. FORCEDENTRY, l’exploit de NSO Group utilisé contre des militants bahreïnis en 2021 et disséqué par Google Project Zero, exploitait une faille dans la bibliothèque d’analyse d’images d’Apple (JBIG2) permettant aux attaquants de simuler un processeur entièrement fonctionnel à l’intérieur du moteur d’analyse — en exécutant effectivement du code arbitraire dans ce qu’Apple croyait être une opération isolée et sécurisée.
La raison pour laquelle le mobile est devenu la surface d’attaque principale est structurelle. Les smartphones sont constamment sous tension, toujours connectés, et presque jamais redémarrés — ce qui facilite le maintien de la persistance. Ils transportent des données de localisation (suivi GPS au mètre près), des communications chiffrées (les canaux mêmes auxquels les dirigeants font le plus confiance), des identifiants biométriques et des jetons d’accès d’entreprise. Un smartphone entièrement compromis vaut plus pour un attaquant sophistiqué qu’un ordinateur portable compromis : il se déplace avec la cible, écoute via le microphone et contourne le VPN, le pare-feu et l’outil de détection des points de terminaison que les équipes de sécurité d’entreprise ont mis des années à déployer.
Les Courtiers en Exploits
Le marché commercial des zero-days mobiles a normalisé ce qui était autrefois considéré comme une technique d’État exclusive. Zerodium, une entreprise d’acquisition d’exploits basée à Washington, publie une liste de prix publique : une chaîne complète d’exécution de code à distance avec persistance pour iOS — le type nécessaire pour un déploiement zero-click — atteint jusqu’à 2,5 millions de dollars par acquisition. Les chaînes complètes Android tournent légèrement moins cher, autour de 2 millions de dollars, reflétant la plus grande part d’iOS parmi les cibles gouvernementales et d’entreprise à haute valeur. Crowdfense, un concurrent basé aux Émirats arabes unis, a proposé des prix comparables. Les deux entreprises acquièrent des vulnérabilités auprès de chercheurs indépendants et les revendent exclusivement à des clients gouvernementaux.
En dessous du niveau d’acquisition se trouve l’industrie des logiciels espions commerciaux. Pegasus de NSO Group, dont le siège est en Israël, est l’exemple le mieux documenté : une suite complète de surveillance mobile vendue à des clients gouvernementaux capable d’extraire des messages, des e-mails, des photos, des coordonnées GPS, et même d’activer à distance le microphone et la caméra. Pegasus fonctionne silencieusement, laisse des traces forensiques minimales, et a été pendant des années commercialisé comme un outil d’écoute légale pour lutter contre le crime organisé et le terrorisme.
Predator d’Intellexa et Graphite de Paragon représentent une deuxième génération de concurrents qui ont émergé alors que NSO Group faisait face à des sanctions, des litiges et des atteintes à sa réputation. Ces produits fonctionnent sur le même modèle — sous licence pour les agences gouvernementales de renseignement et d’application de la loi — mais ont élargi la base de clients au-delà de la poignée initiale d’États alignés sur l’Occident. Le marché s’est industrialisé. L’exploitation mobile zero-click n’est plus le domaine exclusif de la NSA ou du GCHQ. Elle est disponible pour tout gouvernement disposant d’un budget d’approvisionnement et de la volonté politique de la déployer.
Les Cas Réels qui ont Défini la Menace
Le bilan empirique est considérable. Citizen Lab à l’Université de Toronto a documenté des infections par Pegasus dans des dizaines de pays, constatant systématiquement que l’outil était déployé contre des personnes qu’il n’était jamais censé cibler : des journalistes couvrant la corruption, des politiciens d’opposition, des avocats spécialisés dans les droits humains et des membres de la famille de dissidents.
L’exploit FORCEDENTRY, déployé contre au moins neuf militants bahreïnis entre février et septembre 2021, n’a nécessité aucune interaction de leur part. Des appareils exécutant des versions entièrement à jour d’iOS ont été compromis via iMessage. Apple a été averti en septembre 2021 et a corrigé la faille en quelques jours — mais les attaquants avaient déjà bénéficié de mois d’accès non contesté. L’analyse ultérieure de FORCEDENTRY par Google Project Zero demeure l’un des décryptages publics techniquement les plus détaillés d’une chaîne d’exploit mobile d’acteur étatique.
En 2019, WhatsApp a divulgué une vulnérabilité zero-day (CVE-2019-3568) dans sa pile VoIP permettant l’installation de Pegasus en appelant simplement le téléphone d’une cible — même si l’appel restait sans réponse. La faille affectait iOS et Android. NSO Group a ensuite été poursuivi par la société mère de WhatsApp, Meta, dans une affaire qui s’est poursuivie devant les tribunaux américains pendant des années et a produit une découverte juridique significative.
Android n’a pas été épargné. Plusieurs campagnes documentées ont utilisé des exploits enchaînés — combinant une vulnérabilité d’un navigateur ou d’une application de messagerie avec une escalade de privilèges au niveau du noyau — pour obtenir un accès root persistant sur des appareils Android. Des campagnes ciblant des journalistes au Moyen-Orient et en Asie centrale ont exploité des vulnérabilités dans le moteur de rendu Chrome combinées à des bugs du noyau Linux pour obtenir une compromission complète de l’appareil.
Advertisement
La Réponse des Fabricants
La réponse d’Apple à la menace zero-click est Lockdown Mode, introduit avec iOS 16 et considérablement étendu dans les versions ultérieures. Lockdown Mode est une configuration renforcée optionnelle qui désactive les aperçus de liens iMessage, bloque la plupart des appels FaceTime entrants provenant de contacts inconnus, désactive la compilation JIT dans WebKit et restreint les profils de gestion des appareils entrants. C’est un instrument contondant — certaines fonctionnalités cessent de fonctionner — mais des recherches suggèrent qu’il augmente significativement le coût de l’exploitation. Des exploits de NSO Group qui contournaient des versions antérieures d’iOS se sont avérés inefficaces contre des appareils exécutant Lockdown Mode.
La réponse de Google a été multidimensionnelle. Project Zero a publié un corpus de recherches de plus en plus détaillé sur l’exploitation mobile, et le programme Android Vulnerability Rewards offre désormais jusqu’à 1,5 million de dollars pour une chaîne d’exploit à distance complète. La cadence de correction d’Android s’est considérablement améliorée — les bulletins de sécurité mensuels couvrent maintenant le système d’exploitation de base, mais le problème de fragmentation persiste. Les fabricants d’appareils (Samsung, Xiaomi, Oppo) contrôlent quand les correctifs parviennent aux utilisateurs finaux, et ce délai peut s’étendre de quelques semaines à plusieurs mois pour les appareils d’entrée de gamme. Les téléphones Pixel reçoivent les correctifs en premier ; le reste de l’écosystème Android suit selon des délais qui varient considérablement.
La comparaison entre la sécurité iOS et Android est devenue plus nuancée. iOS bénéficie d’une pile matérielle-logicielle étroitement contrôlée, qui rend l’exploitation plus difficile — mais cela signifie également que lorsqu’un zero-day existe dans une bibliothèque centrale d’Apple (comme avec JBIG2 dans FORCEDENTRY), il affecte simultanément chaque appareil exécutant cette version d’iOS. La fragmentation d’Android, longtemps citée comme une responsabilité sécuritaire, signifie également qu’une vulnérabilité dans l’implémentation d’un fabricant peut ne pas affecter les autres. Aucune architecture n’est intrinsèquement plus sûre ; la surface d’attaque est différente dans sa forme.
Le Problème d’Exposition des Entreprises
Les équipes de sécurité des entreprises ont largement construit leurs modèles de menaces autour des points de terminaison de bureau — des ordinateurs portables avec des outils de détection et de réponse aux points de terminaison (EDR), des passerelles e-mail avec sandbox, une surveillance du périmètre réseau. Les appareils mobiles échappent à ces contrôles dans la plupart des organisations. L’iPhone d’un PDG contient ses messages Signal, ses conversations WhatsApp avec les membres du conseil d’administration et les investisseurs, son e-mail personnel lié aux comptes d’entreprise et ses jetons d’authentification multi-facteurs. La compromission de cet appareil peut rapporter plus de renseignements que des mois de surveillance des e-mails.
Les politiques BYOD (Bring Your Own Device), standard dans la plupart des organisations de taille moyenne à grande, aggravent l’exposition. Les appareils personnels ne sont pas inscrits dans le MDM, ne sont pas mis à jour selon les calendriers de l’entreprise et peuvent exécuter des versions plus anciennes d’iOS ou d’Android. Même les appareils inscrits résistent au type d’inspection approfondie que les outils EDR offrent sur les ordinateurs portables — les systèmes d’exploitation mobiles isolent les logiciels de sécurité de la même façon qu’ils isolent tout le reste, empêchant la visibilité au niveau du noyau qui rend la détection des points de terminaison significative.
Le profil de ciblage s’est également élargi. Les premières campagnes de logiciels espions commerciaux se concentraient sur les dissidents et les journalistes. D’ici 2025, les cas documentés incluent des avocats travaillant sur des litiges sensibles, des cadres de sous-traitants de défense, des entreprises pharmaceutiques impliquées dans des litiges réglementaires et du personnel d’institutions financières. Le seuil de déploiement baisse à mesure que le nombre d’opérateurs sous licence augmente et que la concurrence fait baisser les prix.
Ce que les Entreprises Peuvent Faire
La réalité inconfortable est qu’aucune organisation ne peut se défendre entièrement contre un acteur étatique bien financé qui brûle un véritable zero-day zero-click sur un appareil entièrement à jour. L’objectif est d’augmenter le coût de l’attaque et de réduire l’exposition pour les individus à plus haut risque.
Activer Lockdown Mode pour les individus à haut risque. Tout cadre dirigeant, conseiller juridique, membre du conseil d’administration, journaliste ou employé en contact avec des instances gouvernementales dont les communications pourraient avoir une valeur de renseignement devrait utiliser Lockdown Mode pour iOS ou un profil de renforcement équivalent pour Android. Les compromis en matière d’utilisabilité sont gérables — la plupart des flux de travail d’entreprise restent intacts.
Déployer des outils Mobile Threat Defense. Des produits comme Zimperium et Lookout fonctionnent dans les contraintes de sandbox des systèmes d’exploitation mobiles mais peuvent détecter des anomalies comportementales, des connexions réseau suspectes et des configurations malveillantes connues. Ils ne sont pas équivalents à EDR sur des ordinateurs portables mais fournissent un signal significatif — particulièrement pour détecter les rappels réseau que les implants de logiciels espions utilisent pour exfiltrer des données.
Minimiser la surface d’attaque iMessage. Les organisations qui ne nécessitent pas iMessage pour les communications professionnelles devraient le désactiver, ou à tout le moins le configurer pour filtrer les messages de contacts inconnus. La même chose s’applique à FaceTime. Réduire la surface d’analyse que les acteurs étatiques exploitent est une mesure directe d’augmentation des coûts.
Imposer un déploiement rapide des correctifs mobiles. Les organisations gérant des appareils d’entreprise ou personnels inscrits devraient exiger des mises à jour iOS et Android dans les 72 heures suivant leur publication. Un pourcentage significatif d’exploits mobiles réussis ciblent des vulnérabilités pour lesquelles des correctifs existent déjà.
Auditer les permissions et l’utilisation des applications de messagerie. WhatsApp, Telegram et Signal comportent chacun des profils de risque différents. Les organisations devraient inventorier les applications de messagerie utilisées par les employés pour les communications professionnelles et appliquer des politiques de classification des données en conséquence.
Partir du principe d’une compromission mobile pour les opérations sensibles. Pour les réunions impliquant des informations réellement sensibles — discussions de fusions-acquisitions, négociations réglementaires, stratégie de contentieux — traiter tous les appareils mobiles présents dans la salle comme potentiellement compromis. Utiliser des appareils dédiés à interface réduite là où les enjeux le justifient.
Les exploits mobiles zero-click ne deviendront pas moins répandus à mesure que le marché mûrira — ils deviendront plus accessibles. Les barrières techniques au déploiement s’abaissent tandis que l’infrastructure commerciale soutenant la surveillance mobile de niveau étatique s’est industrialisée. 2026 est l’année où la sécurité mobile passe d’une note de bas de page dans les évaluations des risques d’entreprise à une discussion au niveau du conseil d’administration.
Advertisement
Radar de Décision (Prisme Algérien)
| Dimension | Évaluation |
|---|---|
| Pertinence pour l’Algérie | Élevée — l’Algérie présente une exposition documentée cohérente avec les schémas régionaux de ciblage par logiciels espions commerciaux visant des journalistes, des militants et des fonctionnaires ; les entreprises et organisations du secteur public utilisant des politiques BYOD font face à la même surface d’attaque zero-click que les organisations mondiales |
| Infrastructure prête ? | Partielle — le déploiement MDM est disponible mais appliqué de manière inégale dans les entreprises algériennes ; la plupart des organisations manquent d’outils Mobile Threat Defense ; Lockdown Mode ne nécessite aucune infrastructure mais la sensibilisation reste faible |
| Compétences disponibles ? | Partielles — l’expertise en sécurité mobile est rare en Algérie ; la plupart des organisations s’appuient sur des fournisseurs de sécurité des points de terminaison pour les postes de travail mais n’appliquent aucun contrôle mobile équivalent |
| Calendrier d’action | Immédiat — pour les individus à haut risque et les organisations fortement dépendantes du BYOD |
| Parties prenantes clés | RSSI, responsables de la sécurité informatique, équipes juridiques et de conformité, dirigeants C-suite, journalistes et organisations de la société civile |
| Type de décision | Stratégique |
Synthèse rapide : Les exploits mobiles zero-click ne menacent plus seulement les dissidents — ils ciblent activement les dirigeants, les avocats et le personnel d’entreprise. Les organisations algériennes devraient activer Lockdown Mode sur tous les appareils des dirigeants immédiatement, imposer des politiques de correctifs mobiles rapides, et évaluer si leurs pratiques BYOD exposent leurs communications sensibles à une menace sur laquelle elles n’ont actuellement aucune visibilité.
Sources et lectures complémentaires
- FORCEDENTRY : L’exploit zero-click iMessage de NSO Group capturé à l’état sauvage — Citizen Lab
- Plongée en profondeur dans l’exploit zero-click iMessage de NSO Group — Google Project Zero
- À propos de Lockdown Mode — Apple Security Engineering
- Programme d’acquisition d’exploits — Zerodium
- Rapport de méthodologie forensique : Comment détecter Pegasus de NSO Group — Amnesty Tech
- Predator dans les fils : Ciblé par le logiciel espion Predator — Citizen Lab
🔗 Intelligence Connexe
Six zero-days activement exploités : dans les coulisses du Patch Tuesday le plus dangereux de février 2026
Le Zero Trust n’est plus une option : l’architecture de sécurité d’entreprise pour 2026
Traiter la Sécurité des Agents comme la Cybersécurité : Permissions, Surveillance, Kill Switches
La carte mondiale de la vie privée en 2026 : plus de 140 pays, une économie numérique, zéro consensus
Advertisement