Les autorités américaines, en collaboration avec le FBI, ont émis une alerte à destination des utilisateurs d'iPhone concernant les attaques de logiciels espions ciblant la plateforme de messagerie iMessage. La CISA (Cybersecurity and Infrastructure Security Agency) a conseillé aux utilisateurs d'iPhone et d'Android d'utiliser exclusivement des communications chiffrées de bout en bout.
La CISA et le FBI ont publié une alerte lundi en réponse à plusieurs opérations de piratage importantes sur les plateformes de médias sociaux WhatsApp et Signal, qui ont permis d'infiltrer les messages privés et les appels téléphoniques de plusieurs Américains.
Cependant, l'avertissement de la CISA mentionne iMessage, le système de messagerie d'Apple et client SMS par défaut pour les utilisateurs d'iPhone. iMessage assure un chiffrement de bout en bout entre les appareils Apple, mais les SMS envoyés vers les téléphones Android sont transmis comme des SMS standard, qui ne sont pas entièrement chiffrés.
Les messages iMessage envoyés à Android ne sont pas chiffrés et sont vulnérables au vol de données.
Aux États-Unis, les utilisateurs d'iPhone privilégieraient iMessage à d'autres applications de messagerie chiffrée comme WhatsApp. Selon un rapport publié mi-2024, plus de la moitié des Américains possédant un smartphone sont des iPhones, et 26 % d'entre eux utilisent iMessage. Mark Zuckerberg, PDG de Meta, considère iMessage comme son principal concurrent sur le marché américain.
Les téléphones Android disposent du protocole RCS que Google a testé pour le chiffrement de bout en bout, mais Apple n'a pas confirmé quand elle mettra en œuvre des protections similaires.
iMessage est une interface utilisateur et le seul client SMS sur iPhone, que le département de la Justice a vivement critiqué dans son rapport sur l'écosystème fermé d'Apple. Selon le département de la Justice, l'absence d'alternatives exposerait tous les utilisateurs d'iPhone en cas d'attaque contre le système de messagerie.
« Voici notre principal conseil », a déclaré la CISA, alors même que de nouvelles attaques de logiciels espions ciblent Signal et WhatsApp. « N’utilisez pas la messagerie texte entre iPhones et Androids. Elle n’est pas entièrement chiffrée. »
L'année dernière, le FBI et la CISA ont émis un avertissement similaire en raison de Salt Typhoon, une cyberopération liée à l'État chinois qui a réussi à accéder à des conversations et des SMS privés.
Comme l'a rapporté le Washington Post, le sénateur Mark Warner, président de la commission du renseignement du Sénat, a qualifié cette intrusion de « pire piratage de télécommunications de l'histoire des États-Unis ».
« Nous sommes l'envie du monde entier dans le domaine des télécommunications. Je ne veux pas freiner cette innovation. Je ne veux pas imposer une nouvelle réglementation excessive. Il ne s'agit que de sûreté et de sécurité », a déclaré le sénateur au WP.
Le FBI et d'autres responsables de la cybersécurité ont demandé aux Américains d'éviter les SMS classiques et de privilégier Signal ou WhatsApp pour protéger leurs communications contre les pirates informatiques étrangers.
« Notre suggestion, ce que nous avons déjà dit en interne, n'a rien de nouveau : le chiffrement est votre allié, que ce soit pour les SMS ou les communications vocales chiffrées. Même si un adversaire parvient à intercepter les données, le chiffrement les rendra illisibles », a déclaré Jeff Greene, directeur adjoint exécutif chargé de la cybersécurité à la CISA.
WhatsApp et les appareils Android sont également exposés à des vulnérabilités.
Outre les problèmes d'Apple, Cryptopolitan a également traité de plusieurs failles de sécurité affectant WhatsApp et Android, mentionnées dans les notes de la CISA publiées lundi. Début novembre, des chercheurs de l'Université de Vienne ont révélé une faille dans la fonction d'inscription de WhatsApp qui leur a permis de collecter 30 millions de numéros de téléphone américains en seulement 30 minutes.
Au cours de leurs recherches, ils ont eu accès aux données de 3,5 milliards d'utilisateurs à travers le monde. Environ 57 % de ces utilisateurs avaient une photo de profil publique, et les chercheurs ont pu consulter le texte de profil de 29 % des comptes.
Quelques jours seulement après que l'institution a partagé ses conclusions, la société de cybersécurité Unit 42 a signalé une campagne de logiciels espions sur les appareils Samsung Galaxy nommée LANDFALL, qui utilise une vulnérabilité zero-day dans la bibliothèque de traitement d'images de Samsung libimagecodec.quram.so (CVE-2025-21042) pour infiltrer les appareils via des images envoyées sur WhatsApp.
Selon l'unité 42, ce logiciel malveillant est actif depuis mi-2024 et permet aux attaquants de surveiller intégralement l'appareil sans intervention de l'utilisateur. Des logiciels malveillants Android ont également été découverts dissimulés dans des échantillons d'images iOS, au sein de fichiers DNG (Digital Negative).
Plusieurs utilisateurs cités dans les conclusions de Unit42 ont signalé avoir vu des noms de fichiers étiquetés comme des téléchargements WhatsApp, tels que « IMG-20240723-WA0000.jpg », tracvers des lieux tels que le Maroc, l'Iran, l'Irak et la Turquie entre juillet 2024 et début 2025.
Une autre vulnérabilité, CVE-2025-12725, une erreur d'écriture hors limites dans le composant de traitement graphique WebGPU de Google Chrome, a également été exploitée en conjonction avec LANDFALL.
