Pegasus, Predator, Graphite ou Triangulation : Apple alerte ses utilisateurs ciblés par des logiciels espions : ce que dit le CERT-FR

Pegasus, Predator, Graphite ou Triangulation : Depuis 2021, Apple a instauré un dispositif original de protection de ses utilisateurs les plus exposés : l’envoi de notifications d’alerte directes aux personnes dont les appareils ont potentiellement été compromis par des logiciels espions de haute sophistication. Le CERT-FR, le centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques rattaché à l’ANSSI, suit de près ces campagnes et publie une alerte régulièrement mise à jour depuis le 11 septembre 2025.

Le rapport du CERT-FR met en lumière une réalité souvent sous-estimée : les logiciels espions d’État ou commerciaux représentent une menace concrète et active pour des individus précisément ciblés en raison de leurs fonctions. Face à cette menace, Apple joue un rôle de vigie utile en notifiant directement les personnes concernées. Mais la réaction à cette notification et les mesures préventives mises en place restent de la responsabilité des individus et des organisations.
Des logiciels espions d’une dangerosité hors norme

Les attaques documentées dans ce rapport ne sont pas des menaces ordinaires. Elles mobilisent des outils comme Pegasus, Predator, Graphite ou Triangulation, des logiciels espions particulièrement sophistiqués, difficiles à détecter, et souvent capables de s’installer sans aucune interaction de la victime. On parle ici de vulnérabilités dites « jour-zéro », c’est-à-dire des failles inconnues du fabricant au moment de leur exploitation.

Ces attaques ne visent pas le grand public au sens large. Elles ciblent des individus précis, choisis pour leur statut ou leur fonction : journalistes, avocats, militants, responsables politiques, hauts fonctionnaires, membres de comités de direction dans des secteurs stratégiques. Le profil de la cible est le critère déterminant.
Comment Apple notifie-t-il les personnes ciblées ?

Lorsqu’Apple détecte qu’un compte iCloud a été visé, la notification prend trois formes simultanées :

un iMessage d’alerte envoyé directement sur l’appareil,
un courriel expédié depuis l’adresse threat-notifications@email.apple.com ou threat-notifications@apple.com,
une alerte affichée lors de la connexion au compte iCloud.

Il est important de noter que le délai entre la tentative de compromission et la réception de la notification peut atteindre plusieurs mois. Ce délai est variable et ne préjuge pas de l’étendue de la compromission.

La réception d’une telle notification signifie qu’au moins un des appareils liés au compte iCloud a été ciblé et serait potentiellement compromis.
Les campagnes connues du CERT-FR depuis mars 2025

Le CERT-FR précise que la liste des campagnes de notification qu’il référence n’est pas exhaustive : seules les campagnes qui lui ont été portées à connaissance y figurent. Depuis le 5 mars 2025, six vagues successives ont été identifiées :
Date de la campagne
5 mars 2025
29 avril 2025
25 juin 2025
3 septembre 2025
2 décembre 2025
26 février 2026

La régularité de ces campagnes, à raison d’une vague environ toutes les six à huit semaines, témoigne d’une activité malveillante soutenue ciblant des individus à profil sensible.

Content retrieved from: https://www.dpo-partage.fr/pegasus-predator-graphite-triangulation/.