L'ANSSI, l'agence française de cybersécurité, publie ce mercredi son premier état des lieux sur la cybermenace ciblant les téléphones portables. Celle-ci est bien réelle, destructrice, mais elle peut pourtant être évitée en prenant de simples habitudes.
L'Agence nationale de la sécurité des systèmes d'information (ANSSI) tire la sonnette d'alarme. Dans un rapport publié ce 26 novembre 2025, l'ANSSI révèle avoir traité « depuis trois ans » de multiples compromissions de téléphones mobiles à des fins d'espionnage. Qu'ils ciblent des dirigeants d'entreprises sensibles ou stratégiques, des hautes autorités ou des journalistes sur Android ou iOS, les pirates et services de renseignement étrangers utilisent des moyens de plus en plus sophistiqués.
Les attaques d'espionnage quasi-indétectables se multiplient
Depuis trois ans, l'ANSSI intervient à répétition auprès d'individus dont les téléphones ont été piratés pour servir une mission d'espionnage. Le rapport de 43 pages évoque des cas de compromissions qui visent des hautes autorités gouvernementales et des comités de direction d'entreprises stratégiques françaises. Dans la majorité des dossiers traités, ce sont les téléphones personnels qui ont été ciblés, plutôt que les appareils professionnels, mieux sécurisés.
La sophistication de ces attaques dépasse l'entendement. Les pirates exploitent des vulnérabilités « zéro-clic » qui s'activent sans la moindre action de la victime. Un message WhatsApp reçu, un fichier PDF ouvert automatiquement par l'application Calendrier sur iPhone… Voilà autant de portes dérobées pour installer un logiciel espion. En 2024, des chercheurs ont ainsi découvert une campagne menée sur WhatsApp, où les attaquants ajoutaient leurs victimes à un groupe avant d'envoyer un document piégé.
Ces implants numériques ne laissent quasiment aucune trace. Ils fonctionnent en mémoire vive uniquement et disparaissent au redémarrage du téléphone, ce qui oblige les cybercriminels à « recompromettre » régulièrement leur cible. L'absence de persistance complique d'ailleurs de façon dramatique, le travail des enquêteurs de l'ANSSI, qui peinent à détecter ces infections fantômes malgré leurs outils d'analyse de pointe.
Un marché florissant de la surveillance made in Israël
Derrière ces attaques se cache tout un écosystème commercial, et il est évidemment prospère. L'industrie de la « lutte informatique offensive privée » (LIOP) s'est développée à vitesse grand V depuis les années 2010, avec Israël en tête de gondole. NSO Group et son sulfureux logiciel Pegasus, Intellexa qui commercialise Predator, ou encore Paragon avec son outil Graphite sont des entreprises qui vendent des capacités d'espionnage clés en main à des gouvernements du monde entier, et qui inquiète les autorités.
Leur modèle économique ressemble à celui d'un éditeur de logiciels classique, à la différence près que le produit permet de pirater des téléphones. Les prix varient selon la sophistication de la chaîne d'exploitation choisie et la localisation géographique de la cible. Une attaque dite « 1-clic » nécessite une action de la victime et coûte moins cher qu'une compromission zéro-clic automatique qui, elle, est bien plus complexe à développer.
La prolifération inquiète au plus haut niveau. En novembre 2023, la France et le Royaume-Uni ont lancé le Processus de Pall Mall lors du Forum de Paris sur la Paix, formalisé à Londres en février 2024. Il s'agit d'une initiative multilatérale, aujourd'hui soutenue par 27 États, qui vise à encadrer l'usage « irresponsable » de ces outils et à lutter contre leur dissémination. Le code de bonnes pratiques adopté encourage notamment un meilleur partage d'informations sur les menaces et des cadres réglementaires plus stricts.
Cybercriminels et stalkerware : l'autre face de la menace
Mais l'espionnage sophistiqué ne représente qu'une partie du problème. Les téléphones portables attirent aussi l'attention des cybercriminels lambda, qui emploient des techniques beaucoup moins raffinées, mais diablement efficaces. Leur objectif est de voler des identifiants bancaires, des cryptomonnaies ou des données personnelles ensuite revendables sur le darknet. Le ciblage est opportuniste, sans distinction de secteur ou de zone géographique.
En 2025, Kaspersky a découvert des applications infectées par le malware Triada, préinstallées sur des contrefaçons de smartphones de grandes marques. Le code malveillant visait à subtiliser des mots de passe et des portefeuilles de cryptomonnaie. Plus inquiétant encore : certains codes comme NGate, identifié en 2024 par ESET, exploitent la technologie NFC des téléphones pour lire à distance les données de cartes bancaires à proximité.
On ne vous liste pas toutes les menaces découvertes, mais le en rapport une plus insidieuse encore. Il s'agit des stalkerware, ces logiciels de traque installés physiquement sur un appareil pour surveiller l'emplacement, les messages et les appels de la victime. S'ils sont vendus comme des outils de « contrôle parental », ils sont fréquemment utilisés dans des contextes de violences conjugales. Selon Kaspersky, près de 31 000 utilisateurs dans le monde auraient été ciblés en 2023, dont environ 330 en France.
Des gestes simples pour se protéger efficacement
L'ANSSI veut faire passer le message suivant : des réflexes Le premier conseil est presque trop simple pour y croire, mais redémarrer régulièrement son téléphone élimine les logiciels espions non persistants qui peuvent fonctionner en mémoire uniquement. Attention toutefois à bien éteindre puis rallumer l'appareil manuellement, car certains implants parviennent à simuler un redémarrage pour duper l'utilisateur.
Les interfaces sans fil sont de vraies autoroutes pour les attaquants. Qu'il s'agisse du Wi-Fi, du Bluetooth ou du NFC, désactivez systématiquement ces fonctionnalités lorsqu'elles ne sont pas indispensables. Le rapport insiste particulièrement sur les réseaux Wi-Fi publics, véritables passoires grâce auxquelles des acteurs malveillants peuvent facilement intercepter les communications. Si vous devez absolument vous y connecter, utilisez un VPN maîtrisé et chiffré via IPSec ou TLS.
Pour les profils les plus exposés, comme les avocats, les élus, les dirigeants d'entreprises stratégiques ou les journalistes, l'ANSSI recommande d'activer les modes de protection avancés. Le « Mode Isolement » sur iOS (disponible depuis iOS 16 en 2022) ou le « Mode Protection Avancée » sur Android (depuis Android 16 en 2025) limitent les fonctionnalités potentiellement dangereuses. L'agence confirme avoir observé par elle-même l'efficacité de ces dispositifs pour bloquer des tentatives de compromissions réelles. Un témoignage qui devrait convaincre les plus sceptiques.
