Depuis 2021, Apple prévient certaines cibles d’opérations de surveillance sophistiquées. Le CERT-FR vient de lancer une recherche auprés de français impactés.
Apple signale depuis 2021 certaines attaques menées avec des logiciels espions de haut niveau, comme Pegasus, Predator, Graphite ou Triangulation. Ces campagnes ciblent des profils stratégiques, de la rédaction à la salle de conseil, en passant par les cabinets d’avocats et les administrations. Le CERT-FR compile les vagues de notifications connues en 2025, du 5 mars au 2 décembre, et précise les réactions à adopter. Le Saint-Bernard de la cyber sécurité hexagonale recherche des français ayant été contactés par Apple.
Qui Apple prévient et pourquoi ces alertes comptent
Depuis plusieurs années, Apple a mis en place un dispositif discret, mais lourd de conséquences pour les acteurs de la menace. À partir de 2021, l’entreprise commence à envoyer des notifications ciblées à certains utilisateurs lorsqu’elle estime qu’ils ont été visés par des attaques utilisant des logiciels espions très avancés. Ces outils, cités dans la documentation comme Pegasus, Predator, Graphite ou Triangulation, relèvent de la catégorie des implants les plus sophistiqués de l’écosystème numérique, conçus pour rester invisibles et contourner les protections classiques.
Le profil des personnes concernées révèle l’enjeu de renseignement derrière ces campagnes. Les destinataires typiques sont des journalistes, des avocats, des militants, des responsables politiques, des hauts fonctionnaires ou encore des membres de directions d’entreprises opérant dans des secteurs jugés stratégiques. Autrement dit, des individus en position d’accéder à des informations sensibles, à des décisions critiques ou à des échanges confidentiels. La dimension technique de l’attaque se double ainsi d’un objectif clair de surveillance ciblée.
Recevoir une telle notification ne relève donc pas d’un simple incident de cybersécurité ordinaire. Selon les éléments rappelés par le CERT-FR, cela signifie qu’au minimum un des appareils associés au compte iCloud de la personne a été explicitement ciblé. Cet équipement peut, potentiellement, être déjà compromis. Le message d’Apple ne garantit pas que l’attaque ait réussi ou soit toujours active, mais signale que l’utilisateur figure sur la trajectoire d’un acteur disposant de capacités importantes. Le CERT-FR vient de lancer un appel : « Le CERT-FR a connaissance de notifications envoyées par Apple le 2 décembre 2025 à des utilisateurs ciblés par des logiciels espions. Si vous en avez été destinataire, contactez le CERT-FR au plus vite. »
La manière dont l’alerte se manifeste est précisément décrite. L’utilisateur reçoit d’abord un message iMessage, accompagné d’un courriel provenant d’adresses dédiées, de type [email protected] ou [email protected]. Lors d’une connexion au compte iCloud, une alerte supplémentaire s’affiche dans l’interface. Ces différents canaux visent à maximiser la probabilité que la cible prenne connaissance de la situation, même si ses usages varient entre mobile, messagerie et accès web.
Un élément important, parfois sous-estimé, concerne le délai entre la tentative de compromission et la notification. Le texte souligne que ce laps de temps est généralement de plusieurs mois, sans valeur fixe et avec une forte variabilité. Concrètement, l’attaque peut être ancienne, toujours active ou déjà éteinte au moment où l’alerte apparaît. Pour les équipes de sécurité comme pour les services de renseignement, ce décalage complique l’analyse, mais ne réduit pas la portée stratégique de l’information, puisqu’il permet malgré tout d’identifier des cibles et des campagnes.
Le CERT-FR précise enfin qu’il suit les vagues de notifications Apple dont il a connaissance. Pour l’année 2025, il recense ainsi plusieurs campagnes d’alerte : le 5 mars, le 29 avril, le 25 juin, le 3 septembre et le 2 décembre. Cette chronologie ne constitue pas un inventaire complet de toutes les opérations menées par Apple, seulement la liste des vagues signalées au CERT-FR depuis le 5 mars 2025. Ce caractère partiel rappelle que l’écosystème des opérations d’espionnage numérique demeure en grande partie opaque.
Les premiers réflexes après une notification de menace
La réception d’un message d’Apple signalant une attaque par logiciel espion ne doit jamais être considérée comme une simple alerte de sécurité parmi d’autres. Le CERT-FR insiste sur la nécessité de réagir rapidement, mais de manière encadrée, afin de concilier la protection de la personne visée et les impératifs d’investigation technique. La première recommandation consiste à prendre contact au plus vite avec le CERT-FR, via les canaux habituels, pour bénéficier d’un accompagnement spécialisé. L’objectif est de permettre une prise en charge structurée, en évitant les actions improvisées susceptibles d’effacer des traces précieuses.
Dans le même esprit, le courriel de notification envoyé par Apple doit être strictement conservé. Ce message contient des éléments contextuels, des métadonnées, parfois des détails de chronologie qui peuvent se révéler essentiels pour comprendre la campagne à l’œuvre. En environnement de renseignement comme de cybersécurité, chaque fragment d’information peut contribuer à relier l’incident à une vague plus vaste, à un mode opératoire ou à une série d’outils spécifiques.
L’une des consignes les plus contre-intuitives pour un utilisateur sensibilisé à la sécurité est de ne pas modifier l’appareil. Le réflexe spontané serait souvent de redémarrer, de restaurer les paramètres d’usine, de supprimer des applications suspectes ou d’installer immédiatement une mise à jour. Or le CERT-FR indique qu’il faut au contraire s’abstenir de toute action de ce type dans l’immédiat. La raison est simple : toute modification peut altérer ou détruire les preuves techniques nécessaires pour identifier le logiciel espion, comprendre comment il a été introduit et mesurer l’étendue de la compromission.
En pratique, cela signifie que l’appareil concerné doit être laissé dans l’état où il se trouvait au moment de la notification, le temps que les experts puissent intervenir. Cette préservation de l’intégrité technique de l’équipement est un principe classique en investigation numérique, mais elle prend ici une dimension particulière lorsqu’il s’agit d’outils exploitant des vulnérabilités jour-zéro et des chaînes d’exploitation complexes. Chaque action de l’utilisateur risque de casser la scène de crime numérique et de priver les analystes d’indices sur les capacités de l’adversaire.
Sur le plan du renseignement, cette approche offre un double intérêt. D’une part, elle maximise les chances de comprendre la nature de l’attaque, sa sophistication, les vecteurs utilisés et les éventuels mécanismes d’auto-effacement. D’autre part, elle permet de rattacher la victime à une série de cibles similaires, ce qui éclaire les centres d’intérêt de l’attaquant. En respectant les recommandations du CERT-FR, la personne visée contribue donc, malgré elle, à documenter une opération potentielle de surveillance à grande échelle.
Réduire l’exposition, au quotidien comme en entreprise
Au-delà de la réaction immédiate, le texte insiste sur la nécessité de réduire la surface d’attaque des terminaux, en particulier pour les profils sensibles. Les logiciels espions évoqués s’appuient souvent sur des vulnérabilités non encore corrigées, parfois exploitées sans aucune interaction de l’utilisateur. Dans ce contexte, la première ligne de défense consiste à maintenir les appareils à jour avec la version la plus récente du système. Les mises à jour publiées par Apple corrigent régulièrement des failles déjà utilisées par des implants similaires, même si le détail de ces corrections ne permet pas toujours d’identifier publiquement les campagnes concernées.
Activer les mises à jour automatiques, notamment pour les correctifs de sécurité, est présenté comme un complément indispensable. Plutôt que de dépendre du réflexe manuel de l’utilisateur, cette automatisation réduit le temps d’exposition entre la publication d’un correctif et son installation effective. Pour des attaques qui exploitent le moindre décalage de version, ce gain de temps peut limiter la fenêtre d’opportunité de l’adversaire. C’est un geste simple, mais crucial, dans la défense contre les opérations ciblées.
Le document recommande également de cloisonner autant que possible les usages personnels et professionnels. Dans l’idéal, ces activités devraient reposer sur des terminaux distincts. Cette séparation réduit les risques de contamination croisée entre des environnements aux niveaux de protection différents, mais aussi la quantité d’informations accessibles à partir d’un seul appareil. Pour une cible de haute valeur, le fait de ne pas concentrer messageries privées, échanges professionnels, accès administratifs et réseaux sociaux sur le même smartphone complique le travail d’un attaquant cherchant à tout voir depuis un point unique.
Apple propose par ailleurs un Mode Isolement, mentionné comme une mesure clé pour renforcer la sécurité des appareils. Ce mode, destiné aux profils particulièrement exposés, limite un certain nombre de fonctionnalités susceptibles d’être exploitées par des logiciels espions, au prix d’une expérience utilisateur plus restreinte. Son activation illustre un compromis assumé entre confort et sécurité. Pour des journalistes, des militants ou des responsables politiques conscients d’être des cibles potentielles, accepter ces contraintes peut constituer un investissement rationnel face au risque encouru.
Le texte recommande aussi un geste simple, mais régulier : redémarrer l’appareil, idéalement une fois par jour. Cette pratique n’empêche pas les campagnes les plus avancées, mais elle peut perturber certains implants qui ne disposent pas systématiquement de mécanismes de persistance robustes après redémarrage. Sans présenter ce conseil comme une solution miracle, le CERT-FR l’intègre dans un ensemble de pratiques destinées à rendre l’exploitation plus coûteuse pour l’attaquant.
De manière plus générale, le document rappelle les règles classiques d’hygiène numérique adaptées au contexte mobile. Il s’agit d’éviter de cliquer sur des liens ou pièces jointes suspects, de configurer un code d’accès robuste et unique, de recourir autant que possible à l’authentification à deux facteurs et de se tenir à l’écart des applications inconnues ou installées via des magasins alternatifs. Ces pratiques, déjà recommandées pour le grand public, prennent une dimension stratégique lorsqu’elles concernent des terminaux susceptibles de contenir des données à forte valeur de renseignement.
En environnement professionnel, les recommandations se renforcent. Il est conseillé de fournir aux collaborateurs ciblables des appareils maîtrisés, dédiés à un usage strictement professionnel et administrés de manière centralisée. Les organisations sont invitées à exercer une vigilance particulière sur les courriels provenant des adresses de notification d’Apple, afin de distinguer les véritables alertes d’éventuelles tentatives d’hameçonnage les imitant. Enfin, pour les réunions portant sur des sujets sensibles, le texte suggère de laisser les appareils électroniques à l’extérieur de la pièce, limitant ainsi la possibilité de captation directe pendant les échanges confidentiels.
