![[Les routes de la surveillance] : enquête sur le marché mondial des logiciels espions - épisode 0](https://incyber.org//wp-content/uploads/2025/12/incyber-news-cyber-investigation-1920x735.png)
Les routes de la surveillance : enquête sur le marché mondial des logiciels espions – épisode 0
Les révélations de Snowden en 2013 ont mis sur le devant de la scène les pratiques de surveillance de masse et contribué à la généralisation du chiffrement de bout en bout. Un mode de surveillance plus ciblé s’est alors développé, créant une nouvelle strate dans un marché déjà opaque et paradoxalement structuré. Des entreprises privées de toutes tailles fournissent aux États une technologie de pointe qui se déploie en plusieurs segments complémentaires. Du renseignement de masse (SIGINT) à l’infiltration chirurgicale, l’épisode introductif de notre série vous propose une plongée au cœur de cette économie grise indispensable à l’identification des cibles d’intérêt.
La cybersurveillance : décryptage d’un marché nébuleux et structuré
Coup de tonnerre pour le gouvernement italien fin janvier 2025 : des journalistes reçoivent une alerte d’Apple sur leur smartphone, leur signalant qu’ils ont été espionnés grâce un logiciel parrainé par l’État. Des preuves accablantes révèlent que le logiciel Graphite, développé par l’entreprise israélienne Paragon, a été utilisé par l’État italien et plusieurs de ses agences – l’ACN (Agence nationale de cybersécurité), l’AISI (service intérieur, équivalent de la DGSI) et l’AISE (renseignement extérieur, équivalent de la DGSE) – pour surveiller des citoyens.
Si des journalistes figurent parmi les cibles identifiées concernées, de récentes informations révèlent que des professionnels du secteur de la banque et de la finance ont aussi été surveillés. Ce scandale, qui n’en finit plus d’éclater, a même donné lieu à un rapport du Sénat sur l’usage de ce logiciel. L’affaire illustre la montée en puissance d’une pratique de plus en plus répandue : la surveillance ciblée, dont les dérives inquiètent jusqu’aux plus hautes instances européennes. Au-delà du scandale, l’affaire italienne rappelle une réalité : la surveillance est devenue un marché à part entière. Derrière chaque logiciel espion, il y a une chaîne d’entreprises, de contrats et d’intérêts croisés qui dépassent largement les frontières nationales.
En 2013, l’affaire Snowden a révélé l’ampleur vertigineuse de la surveillance de masse mise en œuvre par des agences de renseignement étatiques. Ces programmes reposent majoritairement sur la collecte de métadonnées (qui communique avec qui, quand, et où), l’interception de communications non chiffrées, et les écoutes généralisées. Pourtant, l’écho de ces révélations a paradoxalement accéléré la riposte technique : la généralisation massive du chiffrement. Aujourd’hui, que ce soit via le HTTPS (pour la navigation web) ou, de manière cruciale, le chiffrement de bout en bout imposé par des applications comme WhatsApp, Signal ou Telegram, la majeure partie des échanges est devenue inintelligible sur le réseau. Le maillon faible n’est plus la ligne de communication, mais le terminal lui-même.
Le recours unique à l’ancienne stratégie consistant à « écouter tout le monde, tout le temps » est devenu obsolète pour accéder au contenu. Il a été nécessaire pour les autorités et les agences de renseignement de recourir à une forme de surveillance plus ciblée. Cette situation a favorisé la structuration d’un marché de la cybersurveillance, constitué de plusieurs segments (logiciels d’intrusion, SIGINT, failles 0-day, etc.) parfois complémentaires, comme le suggère Crofton Black, journaliste d’investigation à LightHouse Reports et auteur de nombreuses enquêtes sur la surveillance, dont celle sur l’entreprise FirstWap : “Dans les médias, les outils coûteux sont souvent les seuls à être pris au sérieux, en raison de leur puissance potentielle. En réalité, leur utilisation est peut-être beaucoup plus rare que nous ne le pensons, la grande majorité des opérations de surveillance étant menées par d’autres moyens.” Ce scandale n’est pas un accident isolé : il illustre une tendance de fond née il y a plus de dix ans.
Notre série, “Les routes de la surveillance : enquête sur le marché mondial des logiciels espions”, vous invite à une exploration de ce marché florissant et opaque, mais néanmoins structuré.
De l’écoute globale à la cartographie des cibles
Malgré les révélations d’Edward Snowden et la généralisation du chiffrement de bout en bout, la surveillance de masse n’a pas dit son dernier mot. Souvent appelée SIGINT (Signal Intelligence), elle se concentre sur l’acquisition d’informations à grande échelle, notamment les informations de contexte qui entourent chaque communication (appelées “metadata”) : qui parle à qui, quand, et d’où. Ces outils ne sont pas efficaces pour lire du contenu chiffré, mais ils sont le point de départ essentiel pour la cartographie et l’identification des cibles d’intérêt.
Et pour cela, rien de tel qu’un arsenal d’outils d’interception sophistiqués et souvent intégrés aux infrastructures de communication. Les outils les plus couramment utilisés sont des systèmes d’interception passant par les satellites ou les câbles sous-marins, là où transitent les communications. La collecte de données de télécommunications via DPI (Deep Packet Inspection) est aussi pratiquée : il s’agit d’une technologie qui permet d’ouvrir et de lire le contenu de toutes les données qui transitent sur Internet, et pas seulement les adresses de destination. Enfin, il est aussi possible de recourir à des plateformes d’analyse de métadonnées. Ce système qui collecte, organise et étudie les informations « à propos » des communications, sans lire le contenu réel, afin de dresser des profils et identifier des schémas d’interaction.
Qui sont les architectes de cette collecte massive ? Le segment du SIGINT reste, par essence et par investissement historique, le domaine réservé d’une poignée de superpuissances, ces agences de renseignement (comme la NSA pour les États-Unis, la DGSE pour la France ou le GCHQ pour le Royaume-Uni), qui détiennent le contrôle des infrastructures d’écoute à l’échelle planétaire. Même si des outils sont développés en interne, quelques grandes entreprises spécialisées (General Dynamics Mission Systems, Inc., BAE Systems plc, Parsons Corporation, ou encore Airbus Defence & Space) proposent des solutions toujours plus innovantes aux Etats pour réaliser cette surveillance de masse.
Cette collecte massive de métadonnées est la boussole stratégique : elle extrait du bruit ambiant le contexte nécessaire à la qualification des cibles et devient l’unique argument validant l’investissement colossal et l’opération chirurgicale de l’infiltration ciblée.
Quand la surveillance devient chirurgicale
Pegasus, Predator, Galileo… Les logiciels d’infiltration sont régulièrement sur le devant de la scène médiatique depuis quelques années et le nom de certains d’entre eux est connu du grand public. Si ces noms ont fait la une, le marché des outils d’intrusion commerciale ne date pas d’hier. Il a véritablement émergé au début des années 2000, lorsque des entreprises, souvent issues du secteur de la défense ou du renseignement, ont commencé à vendre des solutions d’interception légale (“lawful interception”) pour aider les États à faire face aux premiers défis d’Internet. Ce segment est le cœur de l’économie grise moderne, rendu indispensable par le chiffrement.
L’attaque par le logiciel réside dans la capacité à transformer le terminal de la cible – ordinateur, smartphone… son outil le plus personnel – en un espion permanent, chirurgicalement infecté par l’injection d’une charge utile discrète. L’objectif principal est de contourner le chiffrement pour accéder au contenu, de façon imperceptible pour la cible. Il vise à obtenir un accès complet au système d’exploitation (fichiers, messages chiffrés, micro, caméra) avant que l’utilisateur n’envoie ou ne reçoive des données, garantissant ainsi l’efficacité maximale du renseignement. Ainsi, le smartphone, censé protéger l’utilisateur, est retourné contre lui : il se mue en un poste d’écoute permanent et indétectable, interceptant froidement les données brutes à l’instant même où elles sont traitées par le système.
Ce pouvoir d’infiltration, qui vaut son pesant d’or stratégique, n’est pas distribué : il est jalousement détenu par un petit nombre d’entreprises privées de haute technologie qui ont transformé l’intrusion ciblée en un oligopole aussi discret que lucratif. Palantir, NSO Group, Intellexa… Ces entreprises controversées et discrètes reposent toutes sur le même modèle économique : la vente de licences très coûteuses pour un nombre limité de cibles. Cette structure de prix et d’exclusivité garantit des marges considérables aux fournisseurs et permet aux États, principaux clients de ces technologies, d’acquérir une capacité d’infiltration que leurs propres agences auraient du mal à développer seules.
Désormais, cette boîte noire technologique ne représente plus une option, mais une nécessité : ce marché opaque et hautement stratégique s’est imposé comme un pilier financier incontournable des budgets de renseignement et de sécurité des nations.
Les 0-days, ces failles qui valent de l’or
Au cœur de cette économie se trouve une ressource singulière, invisible et volatile : la faille 0-day, une faille qui n’a pas encore été découverte par l’éditeur de logiciel. Elle constitue la matière première stratégique et la plus lucrative du marché de l’intrusion, tout en constituant un segment de marché.
Elles sont essentielles au fonctionnement de la plupart des logiciels espions. À cause de la prédominance de l’usage de certains logiciels et systèmes d’exploitation, une faille peut permettre d’atteindre des milliers, voire des millions de personnes à travers le monde. C’est ainsi qu’un business très lucratif s’est développé autour de la recherche et la vente de ces vulnérabilités.
Ironie du sort, ce sont grâce à des “failles” que la lumière est faite sur l’opacité de ce marché.
En 2015, l’éditeur italien de logiciels espions Hacking Team (aujourd’hui connu sous le nom de Memento Labs) a été victime d’une fuite de données concernant une partie des boîtes mails de l’entreprise. Cela a permis d’en savoir plus sur le fonctionnement de l’achat et de la revente de 0-days, activités caractérisées par une certaine opacité et un manque de régulation. La valeur d’un 0-day est directement liée à sa rareté, à la popularité du système ciblé (iOS et Android étant les plus coûteux et recherchés), et à la sophistication de l’attaque qu’il permet (par exemple, une attaque zero-click – c’est-à-dire qui ne nécessite aucune interaction avec la cible – est plus précieuse qu’une attaque nécessitant l’interaction de l’utilisateur).
Pour transformer une simple erreur de code en une arme de renseignement sophistiquée, le marché du 0-day s’est organisé en une chaîne d’approvisionnement obscure, articulée autour de trois maillons indispensables à la discrétion et à la monétisation de la vulnérabilité. Tout commence en amont, avec des chercheurs indépendants ou des équipes de R&D qui découvrent les failles logicielles. Au centre, des courtiers en exploits (exploit brokers) agissent comme un masque d’opacité, achetant les 0-days pour les revendre au plus offrant. Le dernier maillon est constitué des éditeurs de logiciels espions (NSO, Paragon, etc.) qui industrialisent l’exploit en l’intégrant dans leurs produits. Le cycle se boucle par le financement : que ce soit via ces éditeurs ou en achat direct, ce marché obscur et lucratif, qui monétise l’insécurité, est intégralement financé par des États.
Sur ce marché, les transactions ont lieu grâce à des cryptomonnaies ou des cartes bancaires volées, afin de préserver l’identité des acheteurs. Le marché des 0-day est donc parallèle et caché, dont le modèle se distingue de celui du “bug bounty” (où la faille est vendue pour être corrigée). Ici, le but est de garantir la non-divulgation pour préserver la discrétion du logiciel espion.
Ce marché est intrinsèquement parallèle et caché, ce qui impose une grande prudence dans les transactions. Celles-ci ont lieu via des cryptomonnaies ou des cartes bancaires volées, afin de préserver l’identité des acheteurs. L’impératif catégorique de ce marché est la permanence du secret technique : seule la non-divulgation de la faille garantit la discrétion absolue et l’implacable puissance offensive du logiciel espion.
OSINT : l’ombre et la lumière du renseignement ouvert
Si l’intrusion ciblée est l’arme de poing, le renseignement de sources ouvertes (OSINT) est le cartographe des opérations : cette pratique fournit le contexte narratif essentiel qui permet d’orienter l’effort de surveillance, validant les hypothèses et transformant une simple métadonnée en une cible prioritaire. Une méthode qui se concentre sur la collecte et l’analyse de toutes les informations légalement accessibles ou publiques. Elle n’est pas réservée au monde de la cybersurveillance, puisqu’elle est largement utilisée dans le domaine du journalisme ou de l’intelligence économique.
Il s’agit d’un véritable processus d’investigation qui repose sur une méthodologie rigoureuse, combinant outils spécialisés, techniques d’analyse et esprit critique. Il est utilisé pour enrichir le profil d’une cible, vérifier l’authenticité des informations et, surtout, pour identifier les vecteurs d’attaque potentiels (adresses email, appareils utilisés, relations) avant de valider l’engagement d’une ressource coûteuse et intrusive comme un 0-day.
À l’inverse des autres segments de marché de la cybersurveillance, l’OSINT s’expose au grand jour : il s’agit d’un marché visible, largement fragmenté et foisonnant, où la concurrence nourrit une myriade de plateformes et de logiciels spécialisés dans l’agrégation de données publiques (issues des réseaux sociaux, des forums, des bases de données en ligne et du dark web), dans l’analyse de trace numérique, de reconnaissance faciale et d’analyse comportementale. Cette boîte à outil est produite par un écosystème de PME et de startups qui monétisent l’accès aux données, leur nettoyage et leur corrélation.
Ces entreprises ne vendent pas le renseignement, mais la méthodologie : elles fournissent aux agences la capacité d’extraire rapidement et légalement l’information pertinente. Leur activité est donc cruciale pour standardiser les processus d’enquête et maintenir une veille constante sur l’espace informationnel.
Surveiller sans écran : quand le terrain devient réseau
Avant même l’exploitation d’une faille logicielle, il est souvent nécessaire de localiser ou d’engager le terminal cible via son environnement physique, une tâche assurée par le segment de la géolocalisation et de l’accès initial. Celui-ci a émergé au début des années 2000 avec l’apparition des IMSI-Catchers (Stingrays), conçus pour localiser précisément les appareils cibles en simulant une fausse tour cellulaire.
Bien que l’adoption du chiffrement (3G/4G) ait limité leur capacité d’écoute directe, leur rôle est devenu plus stratégique. Ils agissent désormais comme le pont physique-numérique indispensable, fournissant l’accès réseau crucial pour l’injection chirurgicale des logiciels d’intrusion ciblés.
Ce marché de l’engagement physique-numérique est historiquement dominé par un produit devenu archétype : l’IMSI-Catcher, dont l’incarnation la plus célèbre est le Stingray de l’entreprise américaine L3Harris Technologies. Il est ce que les Kleenex sont aux mouchoirs : tellement célèbre qu’il est devenu un nom commun pour désigner toute cette catégorie d’objets. En dehors de ce leader, de nombreuses PME sont actives pour le développement de cette technologie avec trois pôles principaux à signaler en Allemagne, en Israël et au Royaume-Uni.
Les matériels et logiciels requis pour la mise en œuvre de ces outils, en particulier les IMSI-Catchers, sont assez accessibles pour le grand public et sont largement utilisés par les forces de l’ordre. Lors de la DEF CON à Las Vegas en 2010, le chercheur en cybersécurité Chris Paget a démontré qu’il était possible de construire un IMSI-catcher sur la base de matériel générique pour la somme de 1500$. Par ailleurs, en 2023, des escrocs avaient caché des IMSI-catchers dans le coffre d’une voiture, afin d’aspirer les numéros de téléphone d’une dizaine de milliers de parisiens. Le but de l’opération était d’envoyer des messages de phishing aux numéros captés, afin d’inviter les victimes à communiquer leurs coordonnées bancaires. Cette affaire prouve l’accessibilité de cet outil et son utilisation par des acteurs civils à des fins cybercriminelles.
Le renseignement ne se limite pas aux tours de téléphonie : pour un suivi plus discret et plus fin en milieu urbain, les analystes exploitent les émissions passives de nos terminaux. Ces systèmes d’analyse de signaux Wi-Fi et Bluetooth transforment les simples balayages de connexion de nos appareils en outils de filature persistante. Chaque appareil émettant avec une adresse MAC (Media Access Control) unique, il est possible de créer une empreinte numérique et de retracer le déplacement d’une cible d’une rue à l’autre ou d’un lieu public à un bâtiment privé. La concurrence est forte sur ce type d’outils, avec de nombreuses petites entreprises actives et discrètes dans le domaine.
Pour garantir la précision de l’engagement, la géolocalisation ne se restreint pas aux signaux terrestres : ce segment intègre en dernière instance le renseignement géospatial (GEOINT) et l’imagerie, offrant la validation visuelle de la position de la cible. Ces systèmes servent souvent à confirmer la position physique avant d’engager des moyens d’accès initial sur le terrain. Airbus Defence & Space propose des outils qui correspondent à cette catégorie, mais c’est aussi le cas de start-up comme GEO4I.
Reconstituer la preuve : la dernière étape du cycle
Une fois l’opération d’intrusion ou la saisie physique réussie, la bataille se déplace vers le laboratoire : ce segment essentiel est constitué d’outils forensiques et d’extraction qui sont capables de déverrouiller et d’analyser le terminal cible, même éteint, pour en extraire la preuve. Dans un contexte judiciaire, le but de leur utilisation est l’extraction de données pouvant servir de preuves. Ils permettent aussi de collecter des éléments pour reconstruire la chronologie des activités criminelles ou terroristes.
Le paysage des acteurs de l’analyse légale est dual : il se compose à la fois de géants de la défense capables d’intégrer des solutions forensiques complètes et d’entreprises spécialisées qui se concentrent sur la prouesse technique, comme le déverrouillage expert des appareils mobiles. Des grands groupes se sont positionnés sur le segment, comme Thales, par exemple. Ils intègrent des capacités d’analyse forensique dans leurs offres de services de renseignement pour leurs clients étatiques. Parmi les spécialistes de l’extraction de données, on retrouve des acteurs de taille plus modeste, comme l’israélien Cellebrite considéré comme leader dans ce domaine avec son produit nommé UFED. Le suédois MSAB et l’américain Oxygen Forensics peuvent également être considérés comme des acteurs majeurs. Enfin, certaines entreprises proposent des plateformes d’analyse forensique et de gestion de la preuve. C’est le cas de l’australien Nuix et du canadien Magnet Forensics.
L’usage de ces outils étant principalement lié à des enquêtes criminelles ou à la lutte contre le terrorisme, les principaux clients sont d’origine étatique : forces de l’ordre nationales et locales, services de renseignement et agences de sécurité, organismes de régulation et de lutte contre la fraude. Toutefois, ces outils peuvent aussi intéresser des clients du privé : des cabinets d’avocats ou des entreprises ayant besoin de mener des enquêtes internes après une violation de données ou un litige impliquant des preuves numériques. Ils utilisent les mêmes outils pour garantir l’intégrité et la recevabilité de leurs analyses. Certains de ces outils peuvent donc être acquis, dans une certaine mesure, par des laboratoires forensiques privés ou des entreprises de conseil en cybersécurité.
