La faille d'iMessage d'Apple exploitée par le logiciel espion Paragon pour cibler des journalistes

Une vulnérabilité récemment divulguée sans clic dans la plateforme iMessage d’Apple a été exploitée pour espionner des journalistes en Europe à l’aide d’un logiciel espion haut de gamme développé par la société israélienne Paragon Solutions.

Deux journalistes ciblés

Citizen Lab, un observatoire des droits numériques à l’Université de Toronto, a confirmé des preuves d’analyse judiciaire selon lesquelles au moins deux journalistes—Ciro Pellegrino de la publication italienne Fanpage.it, et un « journaliste européen éminent » anonyme—avaient leurs iPhones fonctionnant sous iOS 18.2.1 infectés par le logiciel espion Graphite de Paragon au début de 2025.

« Notre analyse judiciaire a conclu qu’un des dispositifs du journaliste avait été compromis par le logiciel espion Graphite de Paragon en janvier et début février 2025 tout en fonctionnant sous iOS 18.2.1 », indique le rapport publié par Citizen Labs jeudi.

« Nous attribuons le compromis à Graphite avec une grande confiance car les journaux sur le dispositif indiquaient qu’il avait effectué une série de requêtes à un serveur qui, durant la même période, correspondait à notre empreinte publiée P1. »

Le même compte iMessage identifié dans des attaques antérieures a été trouvé dans les journaux de l’appareil de Pellegrino, « que nous associons à une tentative d’infection par Graphite sans clic. »

Étant donné que les fournisseurs de logiciels espions mercenaires attribuent généralement une infrastructure dédiée à chaque client, le compte « serait utilisé exclusivement par un seul client/opérateur Graphite, et nous concluons que ce client a ciblé les deux individus », a ajouté le rapport.

Apple a informé les deux victimes le 29 avril 2025, ainsi que certains utilisateurs d’iOS, leur avertissant que leurs dispositifs avaient été ciblés par « un logiciel espion avancé. » La vulnérabilité iMessage sans jour, maintenant corrigée—CVE-2025-43200—permettait au logiciel espion d’infecter les iPhones sans aucune interaction de l’utilisateur.

Qu’est-ce que Graphite ?

Graphite est un outil de surveillance avancé développé par Paragon Solutions, une entreprise israélienne de cyber-intelligence ayant des liens avec l’ancien Premier ministre israélien Ehud Barak. Cet outil permet aux clients gouvernementaux d’accéder à distance à l’appareil d’une cible, récupérant des données telles que des messages, des e-mails, des photos, des données de localisation, et même un accès en temps réel au microphone ou à la caméra.

Comment l’attaque a fonctionné

L’attaquant a utilisé un compte iMessage générique, étiqueté « ATTACKER1 » dans les documents de recherche, pour livrer des messages spécialement conçus exploitant une faille logique dans la façon dont iOS traitait des photos ou vidéos malicieusement conçues partagées via un lien iCloud. L’exploit a affecté les dispositifs fonctionnant sous iOS 18.2.1 et antérieurs.

L’attaque était ce qu’on appelle un exploit sans clic—ne nécessitant aucune action de la victime—aucun clic, aucun téléchargement—laissant pratiquement aucune trace visible sur le téléphone. Une fois le logiciel espion activé, il s’est connecté à un serveur de commandement et de contrôle à https://46.183.184[.]91, un VPS lié à l’infrastructure de Paragon, et a accédé secrètement aux messages, e-mails, photos, localisation, microphone, caméra, et plus encore.

Apple a discrètement abordé le problème le 10 février 2025, dans le cadre de iOS 18.3.1, iPadOS 18.3.1, iPadOS 17.7.5, macOS Sequoia 15.3.1, macOS Sonoma 14.7.4, macOS Ventura 13.7.4, watchOS 11.3.1, et visionOS 2.3.1. Cependant, l’utilisation de cet exploit sans jour n’a été révélée publiquement qu’en juin après l’enquête de Citizen Lab.

Dans son avis maintenant mis à jour, le fabricant d’iPhone décrit la faille comme « un problème logique existant lors du traitement d’une photo ou vidéo malicieusement conçue partagée via un lien iCloud », notant que la vulnérabilité a été résolue grâce à une validation d’entrée améliorée.

La société a également reconnu des rapports selon lesquels elle est consciente que la vulnérabilité « a pu être exploitée dans une attaque extrêmement sophistiquée contre des individus spécifiquement ciblés. »

Journalistes européens en danger en raison de la crise des logiciels espions

Au moment où Citizen Lab a publié son rapport, trois journalistes européens avaient été confirmés comme cibles du logiciel espion Graphite de Paragon—deux par des preuves judiciaires et un via la notification de Meta. Un cas est lié à la publication italienne Fanpage.it, soulevant des questions urgentes sur qui est derrière les attaques et si une justification légale existe.

« Le manque de responsabilité disponible pour ces cibles de logiciels espions souligne l’étendue à laquelle les journalistes en Europe continuent d’être soumis à cette menace numérique hautement invasive, et souligne les dangers de la prolifération et de l’abus des logiciels espions », conclut le rapport.