Découverte de Graphite : un espionnage ciblé sur deux journalistes
Le Citizen Lab, centre de recherche spécialisé dans la sécurité numérique, a confirmé l’utilisation du malware Graphite pour espionner deux journalistes. Les investigations menées en avril et mai 2025 ont mis en évidence la présence de ce logiciel espion sur les iPhone d’un correspondant européen souhaitant rester anonyme et de Ciro Pellegrino, journaliste pour Fanpage.
Comment Graphite infecte-t-il les iPhone ?
Graphite, développé par la société israélienne Paragon Solutions, exploite une vulnérabilité zero-click dans iMessage (CVE-2025-43200). Contrairement aux attaques classiques qui nécessitent une interaction de l’utilisateur, ce type d’exploit s’exécute automatiquement dès la réception d’un message malveillant. Les traces retrouvées par Citizen Lab comprennent :
- L’adresse IP d’un serveur de commande et contrôle géré par Paragon Solutions.
- L’account iMessage utilisé pour déployer le code malveillant.
- Des fichiers résiduels révélant l’exfiltration d’informations depuis l’appareil.
Apple, informée de ces cyberattaques, a publié le 29 avril une notification de sécurité sur les iPhone concernés, invitant les utilisateurs à installer la mise à jour iOS 18.3.1, qui corrige la faille exploitée.
Les cibles et leurs profils
Les deux victimes de Graphite n’avaient a priori aucun lien entre elles hormis leur métier de journaliste. Citizen Lab précise :
- Un journaliste européen de renom, dont l’identité n’a pas été révélée pour des raisons de confidentialité.
- Ciro Pellegrino, reporter italien pour Fanpage, dont l’iPhone présentait également des signes d’infection.
Dans son rapport, le Copasir (Comité parlementaire pour la sécurité de la République italienne) n’a toutefois pas mentionné le nom de Ciro Pellegrino, se concentrant sur l’aspect technique de l’attaque. Par ailleurs, la vérification du smartphone Android de Francesco Cancellato, autre journaliste de Fanpage, est toujours en cours et pourrait révéler de nouvelles intrusions.
Motivations et auteurs supposés
La piste d’un espionnage dirigé par un État ou une organisation disposant de technologies avancées n’est pas exclue. Graphite, en raison de son caractère zero-click et de son coût élevé de développement, est généralement associé à des acteurs disposant de moyens financiers et techniques conséquents. Les motivations possibles comprennent :
- Surveillance politique : cibler des journalistes couvrant des sujets sensibles au niveau national ou européen.
- Collecte d’informations stratégiques : intercepter des enquêtes en cours ou des sources confidentielles.
- Intimidation médiatique : décourager certaines investigations par la peur de la cybersurveillance.
Réactions des autorités et enjeux législatifs
Suite à la révélation de ces actes, plusieurs actions sont envisagées :
- Réouverture du dossier au Copasir : le comité pourrait lancer de nouveaux approfondissements, notamment pour identifier les commanditaires de l’attaque.
- Débat au Parlement européen : une session est programmée le 16 juin pour discuter des risques liés aux « spywares » et des mesures de protection des journalistes.
- Renforcement des mises à jour : inciter les fabricants de smartphones et éditeurs d’OS à accélérer les patchs de sécurité.
Impacts sur la liberté de la presse et la confiance numérique
L.spyware Graphite porte une atteinte grave à la liberté d’informer. En espionnant discrètement les communications et activités professionnelles, il érode la confiance entre journalistes et sources. Plusieurs conséquences sont à redouter :
- Auto-censure : les reporters pourraient hésiter à couvrir des sujets sensibles de peur d’être surveillés.
- Perte de confidentialité : des renseignements stratégiques ou des enquêtes en cours risquent d’être révélés prématurément.
- Dissuasion internationale : la réputation de la sécurité des iPhone est entachée, risquant de détourner de potentiels utilisateurs reliant leur travail au secret professionnel.
Mesures de protection pour les journalistes
Face à la montée en puissance de telles menaces, plusieurs recommandations sont formulées par les experts en cybersécurité :
- Maintien des logiciels à jour : installer systématiquement les patchs de sécurité fournis par Apple et Google.
- Utilisation d’outils de chiffrement : recourir à des applications de messagerie chiffrées de bout en bout dont l’origine est connue.
- Segmentation des appareils : dissocier strictement l’usage personnel et professionnel des smartphones.
- Surveillance active : exploiter des solutions de détection d’intrusion mobile (MDM) pour repérer d’éventuels comportements anormaux.
L’impératif d’une surveillance citoyenne et législative
Graphite rappelle que l’équilibre entre lutte contre la cybercriminalité et respect des libertés individuelles reste fragile. Les États doivent concilier :
- Protection de la sécurité nationale : surveillance des menaces réelles visant l’intégrité de l’État.
- Garantie de la liberté de la presse : interdiction stricte de tout espionnage illégal contre les journalistes.
- Transparence : information claire du public sur les outils légaux de surveillance et leurs limitations.
À l’approche du débat européen, les représentants politiques auront à légiférer pour endiguer l’usage abusif de ces technologies « zero-click » tout en préservant l’action des services de renseignement dans des conditions démocratiques.