Apple et Google sonnent l’alarme mondiale : des milliers d’utilisateurs ciblés par des logiciels espions mercenaires

Votre iPhone vibre. Un message iMessage d’Apple. Un mail dans votre boîte de réception. Le texte est glacial : “Vous avez été ciblé par une attaque de logiciel espion mercenaire.” Pas de virus ordinaire. Pas de phishing banal. Non. Ici, on parle d’armes numériques à plusieurs millions de dollars, déployées par des États ou des entités privées aux moyens illimités. Début décembre 2025, Apple et Google ont lancé simultanément une nouvelle vague d’alertes à travers le monde, touchant des centaines d’utilisateurs dans plus de 150 pays. Cette offensive coordonnée marque un tournant : jamais les deux géants de la tech n’avaient agi avec une telle synchronisation face à une menace aussi sophistiquée.

Une menace qui coûte des millions et ne laisse aucune trace

Les attaques par logiciels espions mercenaires représentent l’élite absolue des cybermenaces. Contrairement aux virus grand public ou aux campagnes de phishing massives, ces outils coutent entre 5 et 50 millions de dollars à développer et à déployer. Leur durée de vie opérationnelle est courte, parfois quelques semaines seulement, car les éditeurs de systèmes d’exploitation corrigent rapidement les failles exploitées. Mais pendant cette fenêtre d’opportunité, ces armes numériques sont absolument dévastatrices.

Apple l’affirme sans détour : depuis 2021, l’entreprise a envoyé des notifications de menace plusieurs fois par an, touchant désormais un total cumulé de plus de 150 pays. La société californienne refuse systématiquement d’attribuer ces attaques à un pays ou à un groupe spécifique, mais la réalité est connue : ces campagnes sont majoritairement orchestrées par des États-nations ou des sociétés privées de cyberintelligence travaillant pour eux.

Intellexa Predator : le spyware qui survit malgré les sanctions américaines

Google a été plus explicite dans son annonce du 3 décembre. Le géant de Mountain View a révélé que les utilisateurs alertés avaient été ciblés par Intellexa, une société de cyberintelligence sanctionnée par le gouvernement américain, et son produit phare : le spyware Predator. Ce logiciel malveillant a la capacité d’infecter silencieusement un smartphone sans aucune interaction de la victime, une technique appelée attaque zero-click.

Une fois installé, Predator peut activer à distance la caméra et le microphone, intercepter les messages chiffrés de Signal ou WhatsApp, enregistrer les appels téléphoniques, voler les mots de passe, et même suivre la position GPS en temps réel. Le tout, invisible, sans ralentissement perceptible, sans notification suspecte. Un cauchemar pour quiconque manipule des informations sensibles.

Quinze failles zero-day exploitées depuis 2021

Les révélations d’Amnesty International et du Google Threat Intelligence Group ont mis au jour l’ampleur technique du dispositif Intellexa. Depuis 2021, la société aurait exploité au moins 15 vulnérabilités zero-day dans iOS, Android, et divers navigateurs web. Une faille zero-day est une vulnérabilité inconnue des éditeurs de logiciels, ce qui signifie qu’aucun correctif de sécurité n’existe au moment de l’attaque.

Le marché noir de ces failles est florissant. Une zero-day iOS peut se vendre entre 1 et 3 millions de dollars. Une zero-day Android, légèrement moins chère, oscille entre 500 000 et 2 millions de dollars. Intellexa aurait ainsi constitué un arsenal impressionnant, renouvelé constamment pour contourner les correctifs de sécurité déployés par Apple et Google.

L’accès secret aux systèmes clients

Un détail glaçant révélé par les fuites internes d’Intellexa : la société conservait un accès à distance aux systèmes de ses clients gouvernementaux via TeamViewer. Des vidéos de formation internes montrent des employés d’Intellexa se connectant à des serveurs Predator installés chez des gouvernements, consultant en temps réel les tentatives d’infection en cours, accédant aux tableaux de bord de surveillance, et potentiellement aux données collectées sur les cibles.

Cette révélation soulève une question troublante : les États qui achètent Predator pour surveiller leurs citoyens sont-ils eux-mêmes surveillés par Intellexa ? La réponse semble affirmative. En 2021, Intellexa avait acheté sept licences TeamViewer, correspondant exactement au nombre de clients actifs à cette période selon les analyses d’Amnesty International.

Qui est visé et pourquoi maintenant

Les cibles ne sont jamais choisies au hasard. Apple et Google sont formels : ces attaques visent des individus spécifiques en raison de leur identité ou de leurs activités. Les profils récurrents incluent :

• Journalistes d’investigation travaillant sur des affaires de corruption ou de violations des droits humains
• Militants politiques et opposants dans des régimes autoritaires
• Avocats spécialisés dans la défense des droits humains
• Diplomates et fonctionnaires internationaux
• Chercheurs en sécurité et lanceurs d’alerte

En 2025, des cas avérés ont été documentés au Pakistan, où un avocat spécialisé dans les droits humains de la province du Baloutchistan a reçu un lien malveillant via WhatsApp. Le lien contenait une charge d’infection Predator. L’Égypte, le Kazakhstan, l’Angola, l’Ouzbékistan, l’Arabie Saoudite et le Tadjikistan figurent également sur la liste des pays où Google a identifié des victimes.

La France n’est pas épargnée. En septembre 2025, le CERT-FR (Centre gouvernemental de veille français) a confirmé qu’Apple avait envoyé des notifications de menace à plusieurs citoyens français. L’ANSSI recommande aux personnes ciblées de contacter immédiatement les autorités et de ne surtout pas ignorer ces alertes.

Mode Lockdown : la forteresse numérique qui peut vous sauver

Face à ces menaces, Apple a développé une fonctionnalité radicale : le mode Lockdown. Activable dans les réglages de confidentialité, ce mode transforme votre iPhone en bunker numérique. Les compromis sont importants, mais l’efficacité est redoutable.

Voici ce que fait le mode Lockdown :

• Bloque tous les types de pièces jointes dans Messages, sauf les images basiques
• Désactive les aperçus de liens dans Messages et Mail
• Bloque les technologies web complexes comme JavaScript JIT dans Safari
• Empêche les connexions filaires lorsque l’iPhone est verrouillé
• Limite sévèrement les profils de configuration et l’enregistrement à distance
• Désactive les invitations FaceTime provenant de contacts inconnus

Google recommande quant à lui d’activer la vérification en deux étapes, d’utiliser l’application Google Authenticator, et de consulter régulièrement l’historique des connexions suspectes dans les paramètres de sécurité du compte.

Le paradoxe technologique : vendre la sécurité tout en subissant l’insécurité

Il y a quelque chose de profondément troublant dans cette situation. Apple et Google, deux entreprises qui vendent la sécurité comme argument commercial majeur, doivent régulièrement avouer publiquement que leurs systèmes ont été contournés. Les iPhone à 1500 euros et les Pixel équipés de puces Titan M2 restent vulnérables face à des adversaires disposant de budgets illimités.

Ce paradoxe souligne une réalité inconfortable : la sécurité absolue n’existe pas. Même les meilleurs ingénieurs d’Apple et Google, armés de milliards de dollars en recherche et développement, ne peuvent garantir une protection totale contre des attaques ciblées financées par des États.

La bataille est asymétrique. D’un côté, des entreprises qui doivent sécuriser des milliards d’appareils grand public avec des contraintes de compatibilité, d’ergonomie et de coût. De l’autre, des sociétés mercenaires qui peuvent consacrer des millions de dollars pour pirater un seul individu, sans se soucier des dégâts collatéraux.

Comment savoir si vous êtes ciblé

Les notifications d’Apple arrivent via trois canaux simultanés :

1. Une bannière d’alerte en haut de la page account.apple.com lorsque vous vous connectez
2. Un iMessage provenant d’une adresse Apple officielle vérifiée
3. Un e-mail envoyé à l’adresse associée à votre Apple ID

Apple insiste sur un point capital : ces notifications ne demandent jamais de cliquer sur un lien, d’ouvrir une pièce jointe, ou de fournir votre mot de passe. Si vous recevez un message prétendument d’Apple qui vous demande ces actions, c’est une tentative de phishing, pas une vraie alerte.

Google envoie ses alertes via Gmail et affiche un message dans Google Account. L’entreprise fournit également un lien vers sa page d’aide dédiée aux menaces parrainées par des gouvernements.

L’industrie du spyware mercenaire prospère malgré les sanctions

Intellexa a été officiellement sanctionné par les États-Unis en mars 2024. La société et plusieurs de ses dirigeants figurent sur la liste noire du département du Commerce américain. Théoriquement, cela devrait paralyser ses activités. Dans les faits, Intellexa continue de prospérer.

Les enquêtes d’Amnesty International révèlent que la société a développé de nouvelles méthodes d’infection en 2024 et 2025, notamment via la publicité en ligne. Cette technique, baptisée ADINT (Advertising Intelligence), permet d’infecter une cible simplement en lui affichant une publicité malveillante sur un site web légitime. Aucun clic n’est nécessaire. L’infection se produit en arrière-plan, exploitant des failles dans les moteurs de publicité.

D’autres sociétés mercenaires opèrent dans le même secteur : NSO Group (Israël) avec son célèbre spyware Pegasus, Cytrox (Macédoine du Nord) avec Predator, Candiru (Israël) également sanctionné, ou encore RCS Lab (Italie). Le marché mondial du spyware commercial est estimé à plusieurs milliards de dollars annuels.

Que faire si vous recevez une alerte

Recevoir une notification de menace Apple ou Google est une situation extrêmement grave. Voici les étapes recommandées par les experts en sécurité numérique :

1. Ne paniquez pas, mais agissez vite : prenez des captures d’écran de toutes les notifications reçues
2. Activez immédiatement le mode Lockdown sur vos appareils Apple
3. Mettez à jour tous vos appareils vers la dernière version disponible
4. Contactez l’Access Now Digital Security Helpline, une organisation spécialisée dans la protection des personnes à risque
5. Prévenez votre entourage professionnel sans donner de détails par voie électronique
6. Changez tous vos mots de passe depuis un appareil sain
7. Contactez les autorités compétentes (ANSSI en France, CERT gouvernemental)
8. Envisagez d’utiliser temporairement un appareil de secours pour les communications sensibles

L’ANSSI recommande également de conserver précieusement l’e-mail d’alerte reçu, car il pourra servir de preuve dans le cadre d’une enquête judiciaire ultérieure.

iOS 18.3 et Android 15 renforcent la protection

Apple a déployé en février 2026 la mise à jour iOS 18.3 qui corrige plusieurs vulnérabilités zero-click découvertes récemment. Les correctifs touchent WebKit (le moteur de Safari), le Kernel iOS, FaceTime, Messages, Photos et l’App Store. Google a fait de même avec Android 15.1, publié en janvier 2026, qui renforce considérablement la sécurité du système de permissions et du sandboxing des applications.

Ces mises à jour sont impératives. Apple estime qu’environ un milliard d’utilisateurs d’iPhone n’utilisent pas la dernière version d’iOS, ce qui les expose directement aux attaques exploitant des failles déjà corrigées. La paresse en matière de mises à jour peut littéralement vous coûter votre liberté dans certains pays.

L’avenir de la surveillance numérique

Cette nouvelle vague d’alertes en décembre 2025 préfigure probablement l’avenir de la cybersécurité. Les attaques mercenaires vont continuer de se sophistiquer. Les États qui cherchent à surveiller leurs citoyens continueront d’acheter ces outils. Et Apple, Google, Microsoft devront sans cesse courir derrière, corrigeant des failles qu’ils découvrent souvent après leur exploitation.

La coordination entre Apple et Google observée en décembre 2025 marque toutefois un tournant potentiellement positif. Pour la première fois, les deux entreprises ont agi en parfaite synchronisation, partageant probablement des renseignements sur les vecteurs d’attaque découverts. Cette collaboration pourrait annoncer une nouvelle ère où les géants de la tech mettent temporairement de côté leur rivalité commerciale pour faire front commun face à une menace existentielle.

Car c’est bien de cela qu’il s’agit. Si les utilisateurs perdent confiance dans la capacité d’Apple et Google à protéger leurs données, c’est tout le modèle économique de ces entreprises qui s’effondre. L’iPhone ne vaut 1500 euros que parce qu’il est réputé sûr. Android équipe 70% des smartphones mondiaux parce que Google garantit un niveau de sécurité acceptable. Si cette promesse est brisée, que reste-t-il ?

La bataille ne fait que commencer. Et cette fois, elle concerne potentiellement chacun d’entre nous.