Pour répondre aux rumeurs évoquant son départ à une autre sélection africaine, Hervé Renard rassure…
Spyware LANDFALL: les téléphones de Marocains exposés à l’espionnage ciblé
Publié le
Un récent rapport de Unit 42, l’équipe cybersécurité de Palo Alto Networks, révèle que le Maroc figure parmi les victimes potentielles d’un logiciel espion sophistiqué appelé LANDFALL, conçu pour un usage commercial et particulièrement efficace.
Selon un rapport publié par Unit 42 basé sur l’examen de fichiers DNG (Digital Negative, ndlr) malveillants déposés sur VirusTotal, des cibles potentielles ont été identifiées au Maroc, en Irak, en Iran et en Turquie. Ce classement indique que les acteurs utilisant LANDFALL, souvent des agences privées ou des entités étrangères, ont ciblé des individus spécifiques au Maroc malgré le coût élevé de cette technologie.
Une menace ciblée et efficace
Le spyware LANDFALL est conçu principalement pour les smartphones Samsung Galaxy exploitant des vulnérabilités spécifiques d’Android. Il offre au cyberespion un contrôle complet de l’appareil, incluant :
· Enregistrement du microphone
· Suivi de la géolocalisation
· Accès aux photos et fichiers multimédias
· Consultation des contacts et historiques d’appels
Les fichiers infectés sont généralement des images DNG ordinaires, transmises via des applications populaires comme WhatsApp, qui déclenchent l’infection dès l’ouverture.
Rappelons dans ce cadre que la Direction générale de la sécurité des systèmes d’informations (DGSSI) avait publié plusieurs bulletins de sécurité mettant en garde les citoyens marocains contre une faille critique découverte dans l’application WhatsApp.
LANDFALL et WhatsApp: un vecteur de piratage discret
Selon le rapport de Unit 42, de la compagnie américaine de cybersécurité Palo Alto Networks, le spyware LANDFALL utilise des fichiers DNG apparemment anodins pour infecter les appareils. Ces fichiers peuvent être transmis via des applications de messagerie populaires, notamment WhatsApp, ce qui rend l’attaque particulièrement insidieuse.
Une fois que la victime ouvre l’image, le malware s’installe automatiquement sur l’appareil, donnant aux attaquants un contrôle total : accès au microphone, à la caméra, aux messages, aux contacts, aux photos, et localisation en temps réel.
Cette technique d’infection via WhatsApp illustre la vulnérabilité des utilisateurs, même lorsqu’ils n’installent aucun logiciel suspect volontairement. Les experts mettent en garde: il ne faut jamais ouvrir de fichiers provenant de sources inconnues, même si ceux-ci apparaissent comme des photos ordinaires partagées par des contacts familiers.
L’utilisation de WhatsApp comme vecteur souligne également le risque que des personnalités publiques, journalistes, activistes ou diplomates soient ciblés sans avertissement, car le malware ne se propage pas aléatoirement mais de manière hautement sélective, selon la valeur stratégique de la cible.
LANDFALL, une surveillance ciblée
Selon le rapport, LANDFALL n’agit pas de manière aléatoire : il cible uniquement des individus à “valeur élevée”, tels que :
· Les personnalités de la sécurité et de la diplomatie
· Les membres proches des cercles de décision
· Les journalistes, activistes et opposants politiques
Cette orientation ciblée en fait un des spywares les plus puissants et discrets récemment détectés.
Implications pour le Maroc
La présence potentielle de LANDFALL au Maroc soulève des questions critiques de sécurité nationale et de protection de la vie privée, notamment pour les journalistes, activistes et responsables gouvernementaux. Les experts recommandent :
· Une vigilance accrue lors de l’ouverture de fichiers provenant de sources inconnues
· L’usage d’applications de sécurité et d’antivirus à jour
· La sensibilisation des utilisateurs sur les techniques d’ingénierie sociale et d’infection via fichiers malveillants
Lire aussi: Maroc: la DGSSI alerte sur une faille critique dans WhatsApp pour Windows
Implications importantes à souligner
· Même si le correctif est disponible (Samsung a patché la vulnérabilité en avril 2025), des appareils non mis à jour restent vulnérables. Le rapport indique que l’activité a commencé dès juillet 2024.
· Le fait que le logiciel vise des utilisateurs « à valeur élevée » (fonctionnaires, journalistes, activistes) suggère un usage potentiellement politique ou de renseignement, et non simplement une cyberattaque commerciale de grande échelle.
· Le choix du Maroc comme zone de ciblage possible mérite d’être examiné à travers le prisme de la sécurité nationale, de la protection des droits numériques et de la vulnérabilité des smartphones dans les milieux sensibles (activisme, journalisme, diplomatie).
