Apple avait prévenu, sans trop en dire. On sait désormais que deux journalistes européens, dont un Italien de Fanpage.it, ont bien été espionnés via une faille zero-click dans iMessage. Une attaque signée Graphite, le spyware de Paragon déjà soupçonné d’avoir ciblé WhatsApp entre fin 2024 et début 2025.

Graphite, le spyware de Paragon, a été utilisé pour espionner deux journalistes européens selon une enquête technique indépendante. © JLStock / Shutterstock
Graphite, le spyware de Paragon, a été utilisé pour espionner deux journalistes européens selon une enquête technique indépendante. © JLStock / Shutterstock
L'info en 3 points
  • Deux journalistes européens ont été espionnés via une faille zero-click dans iMessage, attribuée au spyware Graphite.
  • Citizen Lab a confirmé l'attaque sur iOS, ciblant des journalistes, avec une faille colmatée par Apple.
  • Le scandale en Italie grandit, impliquant des services de renseignement et des accusations de surveillance politique.

Pendant plusieurs mois, Citizen Lab avait accumulé les signaux faibles. Une faille exploitée dans WhatsApp ici, une mise à jour de sécurité iOS là. Mais il manquait encore les preuves concrètes. C’est désormais chose faite : deux journalistes européens ont bien été visés par Graphite, un logiciel espion vendu à des gouvernements, capable de compromettre un iPhone sans aucune action de la victime. Il s’agit de la première confirmation établie par analyse forensique de l’utilisation de cet outil contre des journalistes en Europe. Le premier, Ciro Pellegrino, est chef du bureau napolitain de Fanpage.it. Le second, figure renommée de la profession, a souhaité rester anonyme.

Une faille zero-click dans iMessage

Selon Citizen Lab, les deux iPhones infectés ont été ciblés en janvier et février 2025 via une faille critique dans iMessage, sans que les utilisateurs n’aient besoin de cliquer sur quoi que ce soit. L’un des téléphones a communiqué avec un serveur identifié comme appartenant à l’infrastructure Graphite, hébergé chez EDIS Global (IP : 46.183.184[.]91). À la même période, les logs des deux appareils montrent la présence d’un compte iMessage spécifique, utilisé pour livrer la charge espion.

L’ensemble de ces éléments permet aux chercheurs d’attribuer l’attaque à Graphite avec un haut niveau de confiance. Et cette fois, ce n’est pas Android qui est visé, comme lors de la campagne WhatsApp révélé début 2025, mais bien iOS 18.2.1, dans sa version encore vulnérable. Apple a depuis colmaté la brèche dans iOS 18.3.1 (CVE-2025-43200), publiée le 10 février dernier, en confirmant l’exploitation de la faille « dans le cadre d’une attaque extrêmement sophistiquée visant des individus spécifiques ».

Pour mémoire, le spyware Graphite avait déjà été détecté par Citizen Lab dans une campagne ciblant WhatsApp sur Android, grâce à un simple fichier PDF piégé. WhatsApp avait réagi fin 2024 en neutralisant la faille à distance et en prévenant près de 90 utilisateurs dans 20 pays. Mais jusqu’ici, aucun cas confirmé d’infection iOS n’avait été divulgué.

Un média italien ciblé, un silence politique gênant

Depuis plusieurs années, Fanpage.it s’est illustré par des enquêtes sensibles. Parmi les plus remarquées, une infiltration au sein de la « Gioventù Meloniana », révélant les accointances de certains militants du parti de Giorgia Meloni avec des thèses néofascistes, ou encore des reportages sur les réseaux de trafic liés à la migration. Autant de sujets susceptibles d’irriter les sphères politiques ou sécuritaires.

Mais dans le cas présent, le choix des cibles intrigue. Ciro Pellegrino, journaliste confirmé et chef du bureau de Naples, a précisé dans les colonnes de TechCrunch n’avoir participé ni à l’enquête sur le parti de Meloni, ni à celles sur l’immigration. Le fait qu’il ait malgré tout été infecté par Graphite suggère un ciblage plus large qu’une simple surveillance individuelle. Il pourrait s’agir d’un intérêt pour les sources internes de la rédaction, voire d’une tentative d’accès à l’ensemble de l’écosystème Fanpage.it.

Son collègue Francesco Cancellato, directeur de la rédaction, avait lui aussi été ciblé début 2025. Il fait partie des 90 personnes notifiées par WhatsApp en début d'année. L’infection n’a pas pu être confirmée sur son appareil Android – les journaux système étant moins bavards que sur iOS –, mais le lien entre les deux campagnes ne fait aujourd’hui plus vraiment de doute.

La répétition des cas autour de Fanpage.it suggère une campagne ciblée contre le média lui-même. Une hypothèse renforcée par le fait que les deux infections ont été menées avec le même compte iMessage, ce qui implique un opérateur commun du spyware. Or, dans l’industrie des spywares « mercenaires », chaque client dispose en général de sa propre infrastructure. Il est donc probable que ces deux attaques soient le fait d’un même client gouvernemental.

Le spyware de Paragon aurait servi à espionner au moins deux journalistes du média "Fanpage.it" après la publication d'une enquête visant les partisans de Giorgia Meloni. © Aleksandar Malivuk / Shutterstock
Le spyware de Paragon aurait servi à espionner au moins deux journalistes du média "Fanpage.it" après la publication d'une enquête visant les partisans de Giorgia Meloni. © Aleksandar Malivuk / Shutterstock

Sécurité nationale, le bon prétexte pour surveiller la société civile ?

En Italie, le scandale commence à prendre de l’ampleur. Quelques jours avant la publication du rapport du Citizen Lab, le gouvernement italien a officiellement mis fin à son partenariat avec Paragon. Une décision qui fait suite à la pression médiatique et à la publication d’un rapport du COPASIR, confirmant que Graphite a bien été utilisé par les services de renseignement italiens entre 2023 et 2024, avec l’autorisation d’un procureur, pour surveiller plusieurs individus, dont les militants de l’ONG Mediterranea, officiellement surveillés pour leurs « activités potentiellement liées à l'immigration irrégulière ».

Mais la frontière entre lutte contre le crime organisé et surveillance de la société civile reste floue. Le rapport du COPASIR ne fait à aucun moment mention de Francesco Cancellato, malgré la notification WhatsApp qu’il a reçue et son lien évident avec d’autres cas confirmés. Le comité nie avoir surveillé des journalistes, et refuse toujours d’indiquer quels services ont utilisé le spyware de Paragon en Italie.

De son côté, la société israélienne affirme avoir proposé d’aider le gouvernement italien à faire la lumière sur cette affaire, notamment sur le ciblage supposé de Cancellato. Une offre que Rome aurait refusée, avant que Paragon mette unilatéralement fin au contrat – version des faits que les autorités italiennes contestent, sans apporter d'autre éclairage sur la situation.

Une absence de réponse claire qui alimente les critiques sur le manque de transparence et l’usage de logiciels espions commerciaux à des fins politiques. Citizen Lab, de son côté, estime que les autorités italiennes sont en mesure d’identifier les cibles visées et poursuit ses analyses. D’autres révélations pourraient encore suivre.

Source : Citizen Lab

À découvrir
Meilleur antivirus, le comparatif en juin 2025

30 mai 2025 à 09h45

Comparatifs services