Pegasus, Predator, Graphite ou Triangulation : Depuis 2021, Apple a instauré un dispositif original de protection de ses utilisateurs les plus exposés : l’envoi de notifications d’alerte directes aux personnes dont les appareils ont potentiellement été compromis par des logiciels espions de haute sophistication. Le CERT-FR, le centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques rattaché à l’ANSSI, suit de près ces campagnes et publie une alerte régulièrement mise à jour depuis le 11 septembre 2025.
Le rapport du CERT-FR met en lumière une réalité souvent sous-estimée : les logiciels espions d’État ou commerciaux représentent une menace concrète et active pour des individus précisément ciblés en raison de leurs fonctions. Face à cette menace, Apple joue un rôle de vigie utile en notifiant directement les personnes concernées. Mais la réaction à cette notification et les mesures préventives mises en place restent de la responsabilité des individus et des organisations.
Des logiciels espions d’une dangerosité hors norme
Les attaques documentées dans ce rapport ne sont pas des menaces ordinaires. Elles mobilisent des outils comme Pegasus, Predator, Graphite ou Triangulation, des logiciels espions particulièrement sophistiqués, difficiles à détecter, et souvent capables de s’installer sans aucune interaction de la victime. On parle ici de vulnérabilités dites « jour-zéro », c’est-à-dire des failles inconnues du fabricant au moment de leur exploitation.
Ces attaques ne visent pas le grand public au sens large. Elles ciblent des individus précis, choisis pour leur statut ou leur fonction : journalistes, avocats, militants, responsables politiques, hauts fonctionnaires, membres de comités de direction dans des secteurs stratégiques. Le profil de la cible est le critère déterminant.
Comment Apple notifie-t-il les personnes ciblées ?
Lorsqu’Apple détecte qu’un compte iCloud a été visé, la notification prend trois formes simultanées :
- un iMessage d’alerte envoyé directement sur l’appareil,
- un courriel expédié depuis l’adresse
threat-notifications@email.apple.comouthreat-notifications@apple.com, - une alerte affichée lors de la connexion au compte iCloud.
Il est important de noter que le délai entre la tentative de compromission et la réception de la notification peut atteindre plusieurs mois. Ce délai est variable et ne préjuge pas de l’étendue de la compromission.
La réception d’une telle notification signifie qu’au moins un des appareils liés au compte iCloud a été ciblé et serait potentiellement compromis.
Les campagnes connues du CERT-FR depuis mars 2025
Le CERT-FR précise que la liste des campagnes de notification qu’il référence n’est pas exhaustive : seules les campagnes qui lui ont été portées à connaissance y figurent. Depuis le 5 mars 2025, six vagues successives ont été identifiées :
| Date de la campagne |
|---|
| 5 mars 2025 |
| 29 avril 2025 |
| 25 juin 2025 |
| 3 septembre 2025 |
| 2 décembre 2025 |
| 26 février 2026 |
La régularité de ces campagnes, à raison d’une vague environ toutes les six à huit semaines, témoigne d’une activité malveillante soutenue ciblant des individus à profil sensible.
Que faire si vous recevez une notification Apple ?
Le CERT-FR formule des recommandations claires et hiérarchisées. La première consigne est de ne pas modifier l’appareil avant toute investigation : une remise à zéro, une suppression d’application, une mise à jour ou même un simple redémarrage peuvent effacer des traces forensiques précieuses.
Les étapes recommandées sont les suivantes :
- Contacter rapidement le CERT-FR via cert.ssi.gouv.fr/contact pour bénéficier d’une assistance technique spécialisée.
- Conserver le courriel de notification envoyé par Apple sans le modifier ni le supprimer.
- Ne pas engager de modifications sur l’équipement concerné, qu’il s’agisse d’une remise à zéro, d’une suppression d’application, d’une mise à jour ou d’un redémarrage.
Mesures préventives pour réduire le risque de compromission
Même face à des attaques exploitant des vulnérabilités inconnues, certaines pratiques permettent de réduire sensiblement la surface d’exposition.
Pour la sécurité de l’appareil
- Mettre à jour systématiquement et sans délai : les mises à jour Apple corrigent régulièrement des vulnérabilités exploitées par des logiciels espions. Activer les mises à jour automatiques, y compris les mises à jour de sécurité urgentes, est vivement recommandé.
- Cloisonner les usages : séparer les usages personnels et professionnels, idéalement en utilisant des appareils distincts, limite la portée d’une éventuelle compromission.
- Activer le « Mode Isolement« (Lockdown Mode) : cette fonctionnalité native d’Apple réduit significativement la surface d’attaque en désactivant des fonctionnalités non essentielles particulièrement exposées.
- Redémarrer régulièrement l’appareil, idéalement une fois par jour : certains logiciels espions ne survivent pas à un redémarrage.
Pour l’hygiène numérique générale
- Ne pas cliquer sur des liens ou des pièces jointes suspects, quelle que soit la source apparente.
- Configurer un code d’accès robuste et unique sur l’appareil.
- Activer l’authentification à deux facteurs sur tous les services le proposant.
- Éviter l’installation d’applications provenant de sources inconnues ou de magasins d’applications alternatifs non officiels.
Recommandations spécifiques aux environnements professionnels
Pour les organisations dont certains collaborateurs relèvent du profil de ciblage décrit par le CERT-FR, des mesures complémentaires s’imposent :
- Fournir des appareils maîtrisés et dédiés à un usage strictement professionnel, avec une gestion centralisée des mises à jour et des configurations.
- Mettre en place une surveillance des courriels en provenance des adresses
threat-notifications@email.apple.cometthreat-notifications@apple.comafin d’identifier rapidement toute notification reçue par un collaborateur. - Exclure les équipements électroniques personnels des réunions portant sur des sujets sensibles ou confidentiels.
Cette dernière recommandation revêt une importance particulière dans les secteurs régulés ou dans les fonctions exposées à des risques d’espionnage industriel ou politique.
Source officielle : CERT-FR, CERTFR-2025-CTI-010, dernière mise à jour le 6 mars 2026.
