![Les routes de la surveillance : [enquête sur le marché mondial des logiciels espions] / épisode 1](https://incyber.org//wp-content/uploads/2025/12/incyber-news-cyber-investigation-1920x735.png)
Les routes de la surveillance : enquête sur le marché mondial des logiciels espions / épisode 1
Un mouchard dans votre poche : comment fonctionnent les logiciels espions ?
Vous pensez que votre téléphone est sécurisé ? Il l’est, et de plus en plus, mais cela n’est pas un obstacle pour l’industrie des logiciels espions (ou “spyware”), qui proposent des infiltrations toujours plus furtives et sophistiquées. Les logiciels les plus connus du grand public – Predator, Graphite, Pegasus, etc. – visent principalement ces appareils, parce qu’ils accompagnent les utilisateurs partout et peuvent donner une grande quantité d’informations (localisation, contenu des conversations, images, son). Leur véritable prouesse technique réside dans leur capacité à transformer le dispositif le plus sécurisé et intime en une plateforme de collecte de données, sans qu’aucune notification d’intrusion ne soit émise à l’utilisateur.
Concrètement, le logiciel espion est un outil d’exploitation de failles dont la finalité est la surveillance ciblée et l’exfiltration de données. Pour remplir cet objectif, ils peuvent être des technologies “one-click” (il y a besoin d’une action de la cible pour être installé sur l’appareil, souvent via du phishing) ou “zero-click” (il est installé sans action de la part de la cible). En passant de l’erreur humaine au silence radio, les spywares ont transformé la défense en une course permanente : anticiper l’invisible.
Dans ce premier article de notre série “Les routes de la surveillance : enquête sur le marché mondial des logiciels espions”, disséquons le fonctionnement des logiciels espions, pour démontrer que leur sophistication repose sur la faillibilité de nos propres systèmes.
Il était une faille
Comment fonctionne le meilleur ami de l’Homme du XXIe siècle ? J’ai nommé, le “smartphone”. Celui-ci n’est pas si différent d’un ordinateur, comme l’explique Justin Albrecht, Chercheur Principal et Expert des logiciels espions pour mobiles à Lookout : ”Il exécute des logiciels sous forme d’applications et dispose de son propre système d’exploitation avec ses différentes composantes. Les logiciels sont basés sur du code. Malheureusement, ce code présente souvent des bugs ou des défauts de conception qui permettent à un chercheur averti de contourner les protections intégrées et les fonctionnalités prévues dudit logiciel. Dans ce cas, ces défauts sont appelés des “vulnérabilités”, et le code que les développeurs malveillants écrivent pour exploiter ces vulnérabilités est appelé un “exploit”.”
Oubliez la forteresse imprenable : l’infiltration démarre invariablement par l’identification et l’exploitation de la ligne de code la plus faible ou du jugement le plus hâtif. Les créateurs de logiciels espions ont un objectif clair : obtenir un accès ultra-profond à votre téléphone, bien au-delà des protections de surface que vous voyez.
Pour réussir cette intrusion, les éditeurs de logiciels espions ne s’attaquent pas toujours à la porte principale du système d’exploitation, mais cherchent plutôt des failles dans des applications très populaires, comme votre navigateur web (basé sur Chrome) ou votre messagerie instantanée. Celles-ci sont appelées “0-day” : il s’agit de vulnérabilités qui ne sont pas connues de l’éditeur et qui n’ont donc pas encore été corrigées. Un véritable marché opaque s’est développé ces dernières années autour de la découverte et de la vente de ces failles, qui servent de matière première pour le fonctionnement du logiciel espion. Plus la faille concerne une application ou un système d’exploitation populaire, plus son prix est élevé car on aura plus de chances de réussir à infecter le smartphone de la victime.
Une fois la faille identifiée et achetée par l’entreprise de logiciels espions, les développeurs seront chargés d’écrire des lignes de codes pour l’exploiter (“exploit”), afin de franchir le premier obstacle et sortir de l’environnement sécurisé du téléphone. Cette manœuvre est appelée “sandbox escape” (ou “évasion du bac à sable”). Plus simplement, imaginez que chaque application est enfermée dans son propre « bac à sable » sécurisé par le système d’exploitation. Ce mur virtuel l’empêche d’accéder à vos photos ou à d’autres applications. L’exploit est la méthode qui permet de sauter ce mur ou de creuser un tunnel pour sortir du bac à sable et d’obtenir un premier pied dans la porte du système.
Le zero-click est l’art de cette intrusion sans bruit : l’attaque réussit sans que vous n’ayez à lever le petit doigt. Ce n’est pas votre erreur qui est exploitée, mais le fonctionnement automatique de votre appareil. Imaginez que vous visitez un site d’actualité, et, sans même vous en apercevoir, votre téléphone reçoit une instruction malveillante. Cette information utilise un exploit pour forcer le passage et s’échapper du « bac à sable » sécurisé de votre navigateur. C’est la première brèche. L’objectif est limpide : compromettre l’appareil avant même que vous n’ayez la possibilité de réagir.
À l’inverse, les spywares one-click nécessitent une action de la part de la cible pour que le logiciel puisse infecter le smartphone. L’objectif de l’attaquant sera donc, en premier lieu, de susciter l’erreur de la part de la cible. Cela ressemble à une campagne de phishing classique, qui invite la victime à cliquer sur un lien piégé, grâce aux techniques de l’ingénierie sociale. Des informations sur la cible sont aussi collectées préalablement afin de pouvoir créer une approche personnalisée, grâce à l’OSINT (renseignement en sources ouvertes). Parfois, l’opération peut être très poussée, comme nous l’explique Justin Albrecht : “un hacker peut créer de faux comptes de médias sociaux, de fausses entreprises, des sites web convaincants hébergeant des logiciels malveillants, de fausses nouvelles et d’autres types de traces en ligne qui confèrent de la crédibilité aux efforts d’ingénierie sociale et à l’histoire inventée par l’attaquant. Ces hackers peuvent interagir avec une cible pendant des semaines, parfois en suscitant un intérêt romantique ou une connexion professionnelle, avant de suggérer à la victime de télécharger une application distincte. Le prétexte utilisé pour favoriser le téléchargement peut être une communication plus sécurisée ou une application de partage de photos contenant des clichés prétendument intimes de l’identité factice du hacker”. Toutefois, tous les éditeurs de logiciels ne mettent pas en place une phase de reconnaissance aussi poussée, comme le précise Coline C., analyste en Cyber Threat Intelligence chez Sekoia et co-autrice d’un rapport sur le sujet : “des journalistes ont été visés via un logiciel édité par Candiru. Dans ce cas, le lancement de la chaîne d’infection se faisait par de faux sites de presse typosquattés. À part noter le pays d’origine de la cible ainsi que son activité de journaliste, peu de travail de reconnaissance avait été fait”.
Justin Albrecht indique par ailleurs que l’attaque one-click peut se faire grâce à la participation d’acteurs légitimes : “Il faut rappeler qu’il s’agit souvent d’entreprises légitimes qui vendent leurs logiciels de surveillance à des agences gouvernementales à des fins supposées de sécurité nationale. Cela signifie que les agences utilisant de tels outils exercent souvent des fonctions de police et peuvent émettre des mandats, forçant légalement les entreprises de télécommunications et d’Internet à les aider à cibler une victime. Dans un pays plus autoritaire, les entités gouvernementales peuvent largement contrôler les communications à l’intérieur du pays.” Que la surveillance soit légale ou abusive, le résultat est le même : le téléphone est compromis avec la bénédiction, ou la contrainte, des infrastructures locales.
Persister pour s’exfiltrer
Une fois le logiciel installé sur le smartphone de la cible, il dispose d’un accès restreint à ses données. C’est comme si l’attaquant était dans le hall d’entrée, mais qu’il ne pouvait pas franchir la porte vers le reste de la maison. L’objectif est donc d’obtenir les pleins pouvoirs de manière discrète, c’est-à-dire un accès “root” ou administrateur, afin de pouvoir ouvrir la porte. Cette démarche est nécessaire pour intercepter des données ultra-sécurisées, comme les conversations chiffrées de bout en bout (WhatsApp, Signal). Sans cela, l’attaquant ne pourrait pas lire ce qui est en cours de traitement par le téléphone. Pour ce faire, il doit trouver une deuxième brèche, lançant une “chaîne d’exploits” (c’est-à-dire une série d’attaques successives et sur-mesure, selon la marque ou la version de votre téléphone), jusqu’à obtenir le contrôle total.
Vient ensuite l’étape de la persistance : l’attaquant doit s’assurer que le logiciel espion ne sera pas supprimé par un simple redémarrage de l’appareil ou une mise à jour. Pour cela, il s’injecte dans un processus ou un service légitime et essentiel au fonctionnement du système d’exploitation. Pour dire les choses de manière plus imagée, c’est comme si, au lieu d’allumer sa propre lumière, l’attaquant se branchait directement à la ligne électrique principale de la maison. Le système d’exploitation voit un processus vital tourner, sans se douter qu’un code malveillant y est dissimulé. À ce stade, le logiciel peut modifier des petits fichiers de configuration ou des entrées dans la base de données du système (le registre, par exemple), qui lui indiquent de se relancer automatiquement au démarrage. À chaque redémarrage, le système exécute sa liste de tâches normales, et le logiciel espion est inclus dans cette liste, se relançant ainsi comme un processus normal. Pour survivre aux mises à jour, dont le but est de corriger des failles, le logiciel, ancré au niveau “root” (soit le cœur du système) peut adapter son emplacement et son comportement, ce qui le rend difficile à éliminer de l’appareil via ce processus.
Grâce à cela, le logiciel espion est opérationnel pour effectuer sa mission finale : la collecte et l’exfiltration de données. Le spyware utilise son accès total pour aspirer toutes les informations possibles : conversations, messages vocaux, photos, position GPS, frappes clavier, et même activer le micro ou la caméra à distance. Les données volées sont ensuite envoyées de manière discrète vers le serveur de Command & Control (C2) de l’attaquant. Celui-ci est en quelque sorte son quartier général : il s’agit d’un serveur externe (un ordinateur ou un système d’information quelque part sur Internet) grâce auquel le logiciel espion peut recevoir des ordres et transmettre sa collecte à l’attaquant.
Détecter l’indétectable
Une fois sa mission accomplie, ou pour éviter la détection, le spyware peut avoir des fonctionnalités pour s’autodétruire et effacer ses propres traces sur l’appareil. Cela rend difficile le travail du défenseur, car il est complexe de déterminer si l’on a été la victime d’un logiciel espion, même a posteriori. L’enjeu est de taille : comment traquer l’invisible quand il a été programmé pour l’être ?
Une solution peut être de prêter attention au trafic réseau, afin de remarquer d’éventuelles anomalies. Bien que les spywares soient furtifs, ils doivent communiquer. Des outils de surveillance réseau peuvent détecter un beaconing (communication régulière) vers un domaine nouvellement enregistré ou utilisant un certificat non standard, surtout lorsque l’appareil n’est pas utilisé activement. La surchauffe de l’appareil ou un épuisement trop rapide de la batterie peuvent également constituer des signaux d’alertes visibles.
Pour rester discret tout en transmettant les données, les attaquants ont développé des techniques, comme l’explique Coline C. : “Les attaquants peuvent procéder à la compression de données avant envoi, pour réduire la taille des paquets qui sont envoyés. Il peut aussi y avoir une transmission faite par petits paquets réguliers, ainsi cela se fond complètement dans le trafic normal. Pour éviter de faire exploser les factures, ce qui se fait beaucoup maintenant, c’est une programmation pour envoi de données lorsque le téléphone est en charge et connecté au wifi. Cela permet d’éviter des envois de pièces jointes lourdes quand on est en données cellulaires.” Face à la furtivité programmée, tout effort de détection de spyware sans assistance technologique relève du coup de poker.
Des outils ont été développés pour détecter la surveillance. Par exemple, le Mobile Verification Toolkit (MVT) d’Amnesty International peut analyser les dumps et les journaux du système à la recherche d’indicateurs de compromission (IOC) connus. Il existe aussi des outils comme SpyGuard sont conçus pour intercepter le trafic Wi-Fi et les fichiers PCAP afin de rechercher des anomalies réseau suggérant la présence d’un spyware. Enfin, il est important de noter qu’Apple envoie des notifications aux utilisateurs ciblés par des logiciels espions mercenaires. L’Italie en a fait l’amère expérience avec le scandale Graphite : l’alerte Apple est la faille que les attaquants n’ont pas pu anticiper, transformant les journalistes ciblés en accusateurs, et provoquant des enquêtes pour retrouver d’autres victimes.