Source et contexte: ANSSI (Agence nationale de la sécurité des systèmes d’information) – rapport TLP:CLEAR daté du 26 novembre 2025. Le document synthétise l’évolution de la menace sur les téléphones mobiles depuis 2015, détaille les vecteurs d’attaque, les capacités et finalités des acteurs (étatiques, privés et cybercriminels) et propose des recommandations de sécurité.

• Synthèse générale 📱: L’omniprésence des smartphones, leurs interfaces sans fil et la complexité des OS créent une large surface d’attaque. Des campagnes sophistiquées exploitent des chaînes zéro‑clic et des implants non persistants difficiles à détecter. Le marché de la LIOP (surveillance privée offensive) industrialise et diffuse ces capacités. Le rapport souligne l’initiative franco‑britannique « Processus de Pall Mall » pour encadrer la vente et l’usage d’outils offensifs commerciaux.

• Vecteurs techniques (interfaces sans fil) 🛰️: Exploitations de la 2G (absence d’authentification des antennes, IMSI‑catchers), du Wi‑Fi (AITM, faux AP, redirections vers chaînes d’exploitation, interceptions), du Bluetooth (pistage, vulnérabilités type BlueBorne/Airborne, affaiblissement du chiffrement), du NFC (détournements pour voler des données de paiement), et attaques liées aux opérateurs (ex. SIM‑swapping). Des recommandations d’usage (désactivation, VPN, prudence sur points d’accès) sont fournies.

• Vecteurs liés au terminal 🎯: Ciblage via zéro‑clic (iMessage, WhatsApp, Calendrier iOS), ingénierie sociale (liens/pièces jointes, QR), accès physique (installation d’implants lors de confiscations ou interrogatoires), et cas de piégeage constructeur/chaîne d’approvisionnement. Exploitation de composants intégrés à l’OS (HomeKit, FindMy, Apple Wallet, WebKit), baseband (ex. module Triton), et bibliothèques partagées (codecs multimédia). Abus des fonctionnalités d’accessibilité. Mitigations notables: Mode Isolement (iOS), Mode Protection Avancée (Android), mises à jour rapides et redémarrages réguliers.

• Acteurs, capacités et finalités 🕵️: Acteurs étatiques (développement interne ou achats), entreprises de LIOP (NSO/Pegasus, Intellexa/Predator, Paragon/Graphite, etc.), courtiers en 0‑day, et recours à FAI ou à l’ADINT (publicité temps réel pour profilage/géolocalisation, voire distribution d’exploits). Finalités: espionnage/surveillance (hautes autorités, dirigeants stratégiques, ONG, journalistes, dissidents), déstabilisation (abus d’API d’applis d’alerte/besoins urbains), lucratives (stealers/banque/crypto, 2FA ciblée via SIM‑swapping). L’ANSSI rapporte des cas traités en France, majoritairement sur des téléphones personnels.

• IOCs et TTPs (extraits du rapport) 🧩:

  • TTPs: zéro‑clic, 1‑clic, AITM, IMSI‑catchers, evil twin Wi‑Fi, SIM‑swapping, ADINT, exploitation baseband, social engineering, abus d’accessibilité, chaînes multi‑vulnérabilités, non‑persistance, redirections via FAI.
  • Malwares/outils cités (échantillons non exhaustifs): Pegasus, Predator (modules Mars/Jupiter), Graphite, Triangulation, Reign, LightSpy, EagleMsgSpy, Massistant, BouldSpy, FurBall, Pineflower, Infamous Chisel, Hydra, CraxsRat, Crocodilus, NGate, SharkBot, AhRat, Monokle, XAgent, Copybara, Lumma Stealer, Marcher, Frigid Stealer.

Il s’agit d’une analyse de menace et d’un document de recommandations de sécurité TLP:CLEAR dressant l’état de la menace mobile (2015–2025) et les mesures de réduction de surface d’attaque.

🧠 TTPs et IOCs détectés

TTP

zéro-clic, 1-clic, AITM, IMSI-catchers, evil twin Wi-Fi, SIM-swapping, ADINT, exploitation baseband, social engineering, abus d’accessibilité, chaînes multi-vulnérabilités, non-persistance, redirections via FAI

IOC

Pegasus, Predator, Graphite, Triangulation, Reign, LightSpy, EagleMsgSpy, Massistant, BouldSpy, FurBall, Pineflower, Infamous Chisel, Hydra, CraxsRat, Crocodilus, NGate, SharkBot, AhRat, Monokle, XAgent, Copybara, Lumma Stealer, Marcher, Frigid Stealer

🔗 Source originale : https://www.cert.ssi.gouv.fr/cti/CERTFR-2025-CTI-012/