🌐 Contexte

Publié en mars 2026 par la Fédération Internationale des Journalistes (IFJ), ce rapport technique a été rédigé par Samar Al Halal (ingénieure en sécurité numérique) et révisé par Lukasz Olejnik. Il s’appuie sur des entretiens conduits entre août et septembre 2025 avec neuf experts en cybersécurité, analystes forensiques et journalistes, ainsi que sur plus de 70 sources secondaires couvrant la période 2021-2025.

🎯 Périmètre et méthodologie

L’étude couvre 10 pays principaux (Inde, Pakistan, Kenya, Italie, Serbie, Brésil, Mexique, El Salvador, Liban, Jordanie) et des insights techniques sur Israël/Palestine et Russie/Biélorussie. Elle documente quatre couches techniques de surveillance :

  • Spywares commerciaux zero/one-click (Pegasus, Predator, Graphite)
  • Surveillance quotidienne (stalkerware, phishing, accès insider télécom)
  • Exploits d’infrastructure signaling (SS7, Diameter, IMSI catchers, DPI, injection réseau)
  • Fusion de données et IA (Cellebrite, Oxygen Forensics, plateformes analytiques)

🦠 Écosystème des spywares commerciaux

Pegasus (NSO Group, Israël) : fondé en 2010, exploite des vulnérabilités zero-day (ex : FORCEDENTRY sur iMessage), zero-click, ciblant iOS et Android. Trouvé sur les appareils d’au moins 180 journalistes dans plus de 20 pays en 2021. En 2022, trois chaînes d’exploit iOS 15/16 distinctes déployées (LATENTIMAGE, FINDMYPWN, PWNYOURHOME).

Predator (Cytrox/Intellexa, Europe) : fondé en 2017, initialement en Macédoine du Nord, acquis par Intellexa (Tal Dilian). Déploiement via liens SMS/WhatsApp (one-click) ou injection réseau sans clic. Clients dans au moins 16 pays. Cas documenté : Ahmed Eltantawy (Égypte) ciblé via injection réseau chez Vodafone Egypt.

Graphite (Paragon Solutions, Israël/US) : fondé en 2019 par Ehud Barak et Ehud Schneorson. Zero-click via WhatsApp. Confirmé forensiquement par Citizen Lab en 2025 sur des journalistes italiens (iOS et Android). Contrat de 2M$ avec ICE (US). Infrastructure identifiée sur plusieurs continents.

Autres outils notables :

  • Reign (QuaDream) : exploit zero-click via invitations iCalendar, fermé en 2023
  • DevilsTongue (Candiru/Saito Tech) : ciblage Windows et mobile, blacklisté par les US en 2021
  • Subzero (DSIRF, Autriche) : exploits zero-day Windows/Adobe, qualifié de « spyware as a service » par Microsoft
  • ResidentBat (KGB biélorusse) : spyware Android nécessitant accès physique, découvert par RSF en 2024, actif depuis 2021
  • Dante (Memento Labs/ex-Hacking Team) : confirmé en déploiement actif en 2025 par Kaspersky

📡 Exploits d’infrastructure

  • SS7/SIGTRAN : protocole hérité permettant localisation, interception d’appels/SMS sans accès au terminal. Circles (affilié NSO) déployé dans au moins 25 pays.
  • IMSI catchers (Stingrays) : fausses antennes-relais forçant la connexion 2G pour identifier, localiser et intercepter. Utilisés en Biélorussie lors des protestations de 2020 pour identifier journalistes et manifestants.
  • Deep Packet Inspection (DPI) : équipements déployés au niveau ISP pour filtrer, surveiller ou injecter du trafic malveillant. Cas documenté : injection Predator via Vodafone Egypt en 2023.
  • Interception légale (LI) : modules intégrés aux équipements Nokia, Ericsson, Huawei, détournés sans supervision (cas Grèce).

🔬 Forensique et fusion de données

Cellebrite UFED (fondé en Israël, 1999) et Oxygen Forensics (fondé en Russie, 2000, HQ actuel à Alexandria, Virginie) permettent le clonage complet d’appareils saisis en quelques minutes. En Serbie (2024), Amnesty International a documenté l’utilisation de Cellebrite pour déverrouiller des téléphones de journalistes, suivie de l’installation du spyware NoviSpy.

Les plateformes analytiques (type Palantir, Cellebrite Pathfinder, Sandvine) fusionnent données télécom, extractions forensiques, OSINT et flux de surveillance pour construire des profils comportementaux continus. En Chine (Xinjiang), ce modèle combine surveillance téléphonique, bases de données massives et IA.

🗺️ Études de cas régionaux

  • Mexique : 76 messages Pegasus documentés par Citizen Lab (2017), infections confirmées 2019-2021, usage par l’armée documenté
  • El Salvador : 35 individus infectés par Pegasus (37 appareils), principalement journalistes d’El Faro et GatoEncerrado (2020-2021)
  • Serbie : Pegasus (BIRN, 2025), Graphite (Citizen Lab, 2025), Cellebrite + NoviSpy, IMSI catchers importés
  • Italie : Graphite sur journalistes Fanpage.it (Francesco Cancellato, Ciro Pellegrino), confirmé Citizen Lab 2025
  • Liban : Pegasus (Lama Fakih, HRW, 2021), Dark Caracal (2017-18), secteur télécom contrôlé par l’État
  • Inde : Pegasus confirmé forensiquement sur journalistes de haut profil (Amnesty, décembre 2023), exploits zero-click iMessage
  • Jordanie : Pegasus sur Suhair Jaradat et autres (2019-2021, Front Line Defenders + Citizen Lab)
  • Liban/frontière israélienne : Mort d’Issam Abdallah (Reuters) le 13 octobre 2023, documentée par UNIFIL comme violation du droit international, avec surveillance multi-couches active pendant 75+ minutes avant la frappe

⚠️ Défis identifiés

  • Invisibilité by design des spywares avancés
  • Concentration des capacités forensiques dans quelques organisations (Citizen Lab, Amnesty Security Lab, Access Now)
  • Absence d’attribution claire et d’accountability
  • Passage du ciblage individuel au profilage de masse via IA
  • Géolocalisation via données télécom sans compromission du terminal
  • Effets dissuasifs et autocensure documentés (ex : Szabolcs Panyi, Hongrie)

📋 Type d’article

Il s’agit d’une publication de recherche commanditée par l’IFJ, co-financée par l’Union Européenne, visant à cartographier techniquement l’écosystème de surveillance des journalistes à l’échelle mondiale et à informer les décideurs, organisations médiatiques et experts en sécurité numérique.

🧠 TTPs et IOCs détectés

Acteurs de menace

  • NSO Group (state-sponsored) —
  • Intellexa/Cytrox (state-sponsored) —
  • Paragon Solutions (state-sponsored) —
  • QuaDream (state-sponsored) — orkl.eu · Malpedia
  • Candiru (Saito Tech) (state-sponsored) —
  • DSIRF (state-sponsored) — orkl.eu · Malpedia
  • Circles (state-sponsored) — orkl.eu
  • Hacking Team (Memento Labs) (state-sponsored) —
  • Dark Caracal (state-sponsored) — orkl.eu · Malpedia · MITRE ATT&CK
  • KGB biélorusse (state-sponsored) —

TTP

  • T1566.001 — Phishing: Spearphishing Attachment (Initial Access)
  • T1566.002 — Phishing: Spearphishing Link (Initial Access)
  • T1203 — Exploitation for Client Execution (Execution)
  • T1190 — Exploit Public-Facing Application (Initial Access)
  • T1195 — Supply Chain Compromise (Initial Access)
  • T1557 — Adversary-in-the-Middle (Credential Access)
  • T1056 — Input Capture (Collection)
  • T1125 — Video Capture (Collection)
  • T1123 — Audio Capture (Collection)
  • T1119 — Automated Collection (Collection)
  • T1041 — Exfiltration Over C2 Channel (Exfiltration)
  • T1071 — Application Layer Protocol (Command and Control)
  • T1070 — Indicator Removal (Defense Evasion)
  • T1598 — Phishing for Information (Reconnaissance)
  • T1592 — Gather Victim Host Information (Reconnaissance)
  • T1430 — Location Tracking (Collection)
  • T1636 — Protected User Data (Collection)
  • T1512 — Video Capture (Collection)
  • T1005 — Data from Local System (Collection)

Malware / Outils

  • Pegasus (rat)
  • Predator (rat)
  • Graphite (rat)
  • Reign (rat)
  • DevilsTongue (rat)
  • Subzero (rat)
  • ResidentBat (rat)
  • NoviSpy (rat)
  • Dante (rat)
  • Dark Caracal (rat)
  • FinFisher (rat)
  • FlexiSpy (other)
  • mSpy (other)
  • Hoverwatch (other)
  • Cellebrite UFED (tool)
  • Oxygen Forensics (tool)
  • MVT (Mobile Verification Toolkit) (tool)

🟡 Indice de vérification factuelle : 45/100 (moyenne)

  • ⬜ ifj.org — source non référencée (0pts)
  • ✅ 136647 chars — texte complet (fulltext extrait) (15pts)
  • ⬜ aucun IOC extrait (0pts)
  • ⬜ pas d’IOC à vérifier (0pts)
  • ✅ 19 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ✅ acteur(s) identifié(s) : NSO Group, Intellexa/Cytrox, Paragon Solutions (5pts)
  • ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://www.ifj.org/media-centre/reports/detail/ifj-study-global-surveillance-of-journalists-a-technical-mapping-of-tools-tactics-and-threats/category/publications