Comment les hackers peuvent contrôler un téléphone sans que l’utilisateur ne clique sur un lien

En 2025, la plupart des gens ne peuvent se passer de leur ordinateur portable ou de leur smartphone. Cette familiarité s’est accompagnée d’une certaine méfiance à l’égard des dangers encourus en cliquant sur des courriels, des SMS ou des messages WhatsApp non sollicités.

Mais il existe une menace croissante, les attaques « zéro-clic », qui ne ciblaient jusqu’à présent que les VIP ou les personnes très fortunées de par leur caractère onéreux et leur sophistication.

Une attaque « zéro-clic » est une cyberattaque qui pirate un appareil sans que l’utilisateur n’ait à cliquer sur quoi que ce soit. Elle peut se produire à la réception d’un message, d’un appel ou d’un fichier. L’attaquant utilise des failles cachées dans les applications ou les systèmes pour prendre le contrôle de l’appareil sans que l’utilisateur n’ait besoin de faire quoi que ce soit – ce dernier restant inconscient de l’attaque.

« Bien que le public ait été sensibilisé récemment, ces attaques n’ont cessé d’évoluer au fil des années, devenant plus fréquentes avec la prolifération des smartphones et des appareils connectés », a expliqué à Epoch Times Nathan House, PDG de StationX, une plateforme de formation à la cybersécurité britannique.

« La principale vulnérabilité se trouve dans le logiciel plutôt que dans le type d’appareil, ce qui signifie que tout appareil connecté présentant des faiblesses exploitables pourrait être pris pour cible. »

Aras Nazarovas, chercheur en sécurité informatique chez Cybernews, a expliqué à Epoch Times pourquoi les attaques « zero-click » ciblent généralement les VIP plutôt que les individus ordinaires.

« Comme il est difficile et coûteux de trouver de telles exploitations ‘zéro-clic’, elles sont le plus souvent utilisées pour accéder aux informations de personnalités clés, telles que des hommes politiques ou des journalistes dans des régimes autoritaires », a-t-il poursuivi.

« Elles sont souvent utilisées dans le cadre de campagnes ciblées. Il est rare que de telles exploitations soient utilisées pour voler de l’argent. »

En juin 2024, la BBC a rapporté que la plateforme de médias sociaux TikTok avait admis qu’un nombre « très limité » de comptes, dont ceux du média CNN, avaient été compromis.

Si ByteDance, propriétaire de TikTok, n’a pas confirmé la nature du piratage, des sociétés de cybersécurité comme Kaspersky et Assured Intelligence ont suggéré qu’il provenait d’une exploitation de type « zéro-clic ».

« La partie qui requiert un haut niveau de sophistication consiste à trouver les bugs qui permettent de telles attaques et à élaborer des exploitations pour ces bugs », a indiqué M. Nazarovas.

« Depuis des années, le marché de la vente de codes et des chaînes d’exploitations ‘zéro-click’ représente un milliard de dollars. Certains courtiers en exploitation du marché « gray/dark » offrent souvent entre 500.000 et 1 million de dollars pour de telles chaînes d’exploitation d’appareils et d’applications populaires. »

M. Nazarovas a fait remarquer que les utilisateurs ordinaires ont déjà été victimes d’attaques par « drive-by » zéro-clic. Il s’agit d’attaques qui apparaissent après l’installation involontaire d’un logiciel malveillant sur un appareil, souvent sans que l’utilisateur s’en rende compte. Elles sont devenues plus rares avec le développement du marché « gray » de ce type d’exploitations.

D’après M. House, les exploitations de type « zéro-click » recherchent souvent des vulnérabilités dans les logiciels et les applications, dont la détection est coûteuse, ce qui signifie que les auteurs sont généralement des « acteurs étatiques nationaux ou des groupes bénéficiant d’un financement important ».

Extension des marchés des logiciels espions

Bien que les récentes innovations en matière d’intelligence artificielle (IA) aient rendu certains cybercrimes, tels que le clonage vocal ou le vishing, plus fréquents, M. Nazarovas estime qu’il n’y a pas encore de preuve qu’elles aient augmenté le risque d’attaques « zéro-clic ».

M. House considère que des personnes pourraient utiliser l’IA pour « écrire des chaînes d’exploitation en zéro-clic à des personnes qui, autrement, n’auraient pas eu le temps, l’expérience ou les connaissances nécessaires pour détecter et élaborer de tels exploitations ».

Mais l’augmentation des attaques « zéro-clic » ces dernières années « découle principalement de l’expansion des marchés des logiciels espions et de la plus grande disponibilité d’exploitations sophistiquées, plutôt que de techniques directement basées sur l’IA », a-t-il poursuivi.

Pour M. House, les attaques « zéro-click » existent depuis plus de dix ans, la plus célèbre étant l’affaire du logiciel espion Pegasus.

En juillet 2021, The Guardian et 16 autres médias ont publié une série d’articles alléguant que des gouvernements étrangers utilisaient le logiciel Pegasus du groupe israélien NSO pour surveiller au moins 180 journalistes et de nombreuses autres cibles à travers le monde.

Parmi les cibles présumées de la surveillance Pegasus figuraient le président français Emmanuel Macron, le chef de l’opposition indienne Rahul Gandhi et le journaliste du Washington Post Jamal Khashoggi, qui a été assassiné à Istanbul le 2 octobre 2018.

Dans un communiqué publié à l’époque, le groupe NSO a déclaré : « Comme NSO l’a déjà indiqué, notre technologie n’est en aucun cas associée au meurtre odieux de Jamal Khashoggi. »

Le 6 mai, un jury californien a accordé à Meta, la société mère de WhatsApp, 444.719 dollars de dommages compensatoires et 167,3 millions de dollars de dommages punitifs dans une affaire de protection de la vie privée contre le groupe NSO.

La plainte déposée par WhatsApp portait sur le logiciel espion Pegasus qui, d’après l’action en justice, a été développé « pour être installé à distance et permettre l’accès et le contrôle à distance d’informations – y compris les appels, les messages et la localisation – sur des appareils mobiles utilisant les systèmes d’exploitation Android, iOS et BlackBerry ».

Cibles collatérales

« Si les utilisateurs ordinaires peuvent parfois devenir des cibles collatérales, les attaquants réservent généralement ces exploitations coûteuses aux personnes dont les informations sont particulièrement précieuses ou sensibles », a expliqué M. Nazarovas.

Selon M. Nazarovas, les entreprises offrent aux pirates des « primes aux bugs » pour les inciter à identifier ces failles et à les signaler à l’entreprise plutôt que de les vendre à un courtier qui les revendra ensuite à des parties qui les utiliseront illégalement.

Selon M. House, se défendre contre les attaques de type « zéro-clic » est un véritable défi, mais certaines mesures simples de cybersécurité peuvent réduire le risque.

« Les utilisateurs doivent toujours mettre à jour leurs logiciels et leurs systèmes d’exploitation, redémarrer régulièrement leurs appareils et utiliser des modes de sécurité renforcés tels que le mode verrouillage d’Apple, en particulier s’ils pensent être des cibles à haut risque », a-t-il recommandé.

M. House estime que, quelles que soient les précautions prises, il est essentiel de reconnaître que « des attaques exceptionnellement sophistiquées – comme celles d’États-nations avancés – peuvent contourner même les défenses les plus robustes ».

D’après M. Nazarovas, de nombreux grands acteurs technologiques, tels qu’Apple, Google et Microsoft, collectent de nombreuses données télémétriques provenant de milliards d’appareils et les utilisent pour repérer les exploitations de type « zéro-click » et d’autres attaques sophistiquées. Les données télémétriques sont des informations collectées à distance à partir d’appareils comme les téléphones et les ordinateurs. Ces données, en particulier sur l’utilisation et le comportement des applications, sont renvoyées à un système central afin d’améliorer les performances, de résoudre les problèmes ou de suivre les activités.

« Lorsque des vulnérabilités permettant de telles attaques sont détectées, elles peuvent être rapidement corrigées et diffusées presque immédiatement à des milliards de personnes grâce aux mises à jour automatiques », a ajouté M. Nazarovas.