What are You Looking For?

Christophe Mazzola
lenovembre 28, 2025

Logiciels espions : quand l’État sous-traite l’espionnage de vos téléphones

L’ANSSI vient de publier un rapport fouillé sur la menace visant les téléphones mobiles. On y parle de vulnérabilités, de chaînes d’infection « zéro-clic », de cybercriminels… mais aussi d’un marché privé de la surveillance qui vend des capacités d’espionnage à des États, parfois peu regardants sur les libertés publiques. Traduction : l’espionnage de votre smartphone est en partie sous-traité à des marchands d’armes numériques. Et ça, ça mérite un vrai débat politique, pas seulement des fiches de bonnes pratiques.
5 mns de lecture


L’ANSSI vient de publier un rapport fouillé sur la menace visant les téléphones mobiles. On y parle de vulnérabilités, de chaînes d’infection « zéro-clic », de cybercriminels… mais aussi d’un marché privé de la surveillance qui vend des capacités d’espionnage à des États, parfois peu regardants sur les libertés publiques.

Traduction : l’espionnage de votre smartphone est en partie sous-traité à des marchands d’armes numériques. Et ça, ça mérite un vrai débat politique, pas seulement des fiches de bonnes pratiques.

Dans mon livre Être en cybersécurité, je consacrais d’ailleurs un chapitre entier aux risques liés à l’utilisation de vos téléphones mobiles.. Pour beaucoup, je suis ravi de voir cet alignement avec l’ANSSI; mais que dit ce rapport exactement?

Un aveu discret : la surveillance est devenue une industrie

Dans le rapport, l’ANSSI explique très clairement que les capacités d’intrusion sur mobile ne sont plus réservées à quelques services de renseignement ultra-technos.

Depuis les années 2010, on a vu émerger des entreprises privées de “lutte informatique offensive” (LIOP) qui développent, emballent et vendent des outils d’espionnage clé en main à des gouvernements, à leurs services de renseignement, voire à des structures para-publiques.

Concrètement, ces boîtes proposent :

  • des logiciels espions très intrusifs (type Pegasus & co), capables de prendre le contrôle d’un téléphone sans action de l’utilisateur ;
  • des services de profilage publicitaire détourné (ADINT), qui exploitent la pub en ligne pour suivre, géolocaliser, cibler des individus ou des groupes ;
  • des solutions qui s’appuient sur les fournisseurs d’accès à Internet (FAI) pour injecter du code malveillant directement dans le trafic réseau ;
  • des outils plus “grand public” pour entreprises et particuliers : stalkerware, suites de surveillance, etc.

On n’est plus dans le cliché du “hacker dans son garage”.

On est dans un écosystème industriel avec des catalogues produits, des salons, des démonstrations commerciales, des contrats pluriannuels et, forcément, du lobbying.

L’hypocrisie confortable des États

Le plus dérangeant, c’est le double discours.

D’un côté, l’ANSSI alerte – à juste titre – sur :

  • la prolifération incontrôlée de ces outils ;
  • leur usage irresponsable contre des opposants, des journalistes, des ONG, des dirigeants économiques ;
  • le risque que ces capacités fuitent ou soient réutilisées par d’autres acteurs (États tiers, cybercriminels, groupes paramilitaires).

De l’autre côté, les mêmes États :

  • achètent ces solutions à grands coups de millions d’euros ;
  • profitent du flou juridique pour mener des opérations qui seraient politiquement difficiles à assumer si elles étaient réalisées “en interne” ;
  • se réfugient derrière une forme de déni : « nous, on est responsables, ce sont les autres qui abusent ».

Le rapport évoque aussi le Processus de Pall Mall, une initiative franco-britannique censée encadrer l’usage de ces outils par les États. Très bien sur le papier. Mais au fond, on reste dans la logique suivante :

« On garde le droit d’acheter des armes logicielles, on demande juste aux autres d’être gentils avec. »

On connaît la musique : on a déjà vu ça avec les ventes d’armes classiques, avec les technologies d’écoute de masse, avec certaines décisions en matière de renseignement.

On crée un marché, on l’alimente, puis on fait semblant d’être surpris quand il déborde.

Quand votre téléphone devient une arme géopolitique

Ce que l’ANSSI décrit, sans oser le dire aussi frontalement, c’est ceci :

un smartphone compromis, c’est un individu neutralisé.

Les campagnes citées dans le rapport montrent que ces outils servent à :

  • suivre des élus et des hauts fonctionnaires, notamment sur leurs téléphones personnels ;
  • espionner des directions d’entreprises stratégiques, donc influencer des choix économiques et industriels ;
  • surveiller des opposants, des journalistes, des défenseurs des droits, parfois à l’étranger, parfois à domicile ;
  • mener du renseignement économique : comprendre qui parle à qui, à quel moment, dans quel contexte.

Et derrière, il ne s’agit pas uniquement de grandes puissances.

Des États intermédiaires, qui n’ont ni la culture ni les garde-fous démocratiques solides, se retrouvent avec des capacités d’écoute et d’intrusion dignes d’une grande agence de renseignement.

On vend littéralement des “services de police politique clé en main” à qui peut payer.

Ce qui était autrefois réservé au haut du panier devient un produit de catalogue.

Et une fois que la technologie existe, elle finit toujours par être utilisée au-delà de ce qui était prévu officiellement.

Le vrai risque : la banalisation de l’exceptionnel

Ce qui m’inquiète le plus, ce n’est pas seulement la technique.

C’est la manière dont on est en train de banaliser l’exceptionnel.

Il y a quelques années, un État qui posait un micro dans la chambre d’un opposant prenait un risque politique énorme.

Aujourd’hui, il lui suffit de compromettre son téléphone : pas de perquisition, pas de trace physique, et la possibilité de tout capter – son, image, messages, contacts – à distance.

Le danger politique est là :

  • ce qui devrait relever de l’exception absolue, strictement encadrée (et encore), devient une opération quasi courante ;
  • le contrôle démocratique est en retard de deux guerres : les juges, les parlementaires, les autorités de contrôle n’ont ni les moyens techniques ni parfois la volonté politique de creuser ces sujets ;
  • une partie de l’appareil d’État s’habitue à ce confort : « pourquoi enquêter longtemps quand une infection de téléphone peut tout nous dire ? ».

C’est typiquement le genre de dérive que je décris dans Être en cybersécurité : on invoque la sécurité, le terrorisme, la lutte contre le crime organisé, mais au passage on installe des outils qui pourront très bien servir un jour à surveiller la contestation sociale, économique ou politique.

Que faire ? Trois niveaux de réponse

On ne va pas attendre une soudaine révélation des gouvernements pour réagir. Il y a au moins trois niveaux à travailler.

1. Individuel : arrêter de jouer les naïfs

Non, vous n’êtes pas “trop petit” pour intéresser qui que ce soit.

Vous pouvez être ciblé indirectement :

  • parce que vous travaillez dans une entreprise stratégique ;
  • parce que vous êtes proche d’un élu, d’un décideur, d’un journaliste ;
  • parce que votre téléphone peut servir de pivot vers d’autres systèmes.

Donc oui, il faut hausser le niveau de base :

  • séparer au maximum usages pro et perso ;
  • mettre à jour, redémarrer, nettoyer son téléphone régulièrement ;
  • limiter les applications, les autorisations, les services “gratuits” hyper intrusifs ;
  • apprendre à réagir en cas de doute (ne pas tout bidouiller, contacter des professionnels, etc.).

C’est exactement ce que je détaille, pas à pas, dans Être en cybersécurité : des réflexes simples, applicables par tout le monde, sans jargon.

2. Collectif : exiger de vraies lignes rouges

Du côté politique, il faut arrêter avec les demi-mesures.

Quelques pistes simples :

  • interdire clairement certains usages (surveillance de catégories protégées, ventes à des régimes non démocratiques, etc.) ;
  • imposer de la transparence minimale sur les achats publics de ces outils ;
  • renforcer réellement les contre-pouvoirs : autorités de contrôle, juges, commissions parlementaires dotées de moyens techniques.

On ne peut pas, d’un côté, expliquer que ces outils menacent la démocratie et, de l’autre, continuer à les acheter dans l’opacité la plus totale.

3. Culturel : remettre la technique à sa place

Dernier point, plus politique : il faut sortir de cette fascination technocratique qui consiste à croire qu’il y a une solution technique à tout.

La question n’est pas seulement :
« Peut-on espionner ce téléphone dans le cadre de la loi ? »
Elle est aussi :
« Est-ce légitime, proportionné, compatible avec une société libre ? »

Tant que ce débat restera confisqué par quelques experts, juristes et technos, on continuera d’empiler les outils au nom de la sécurité, tout en creusant le fossé avec les libertés.

Pour conclure

Ce rapport de l’ANSSI a un mérite : il met enfin noir sur blanc l’ampleur de la menace sur les téléphones mobiles et reconnaît l’existence d’un marché privé global de la surveillance.

À nous maintenant d’en faire quelque chose :

  • en nous protégeant mieux, individuellement ;
  • en mettant la pression, collectivement, pour obtenir des lignes rouges claires ;
  • en refusant cette banalisation de l’exceptionnel qui transforme notre smartphone en mouchard d’État sous-traité à des sociétés privées.
Christophe Mazzola
lenovembre 28, 2025
Share
Article précédent

Black Friday, Noël, Soldes : les cybercriminels n’attendent que vous

Next Article

Ils refusent de payer une rançon… et financent la cybersécurité

Lire la suite

Inscrivez-vous à ma newsletter

Suivez mon actualité, consultez mes dernières publications.
J'accepte de recevoir des communications de la part de la Christophe Mazzola Vous pouvez vous désabonner de ces communications à tout moment. Consultez notre Politique de confidentialité pour en savoir plus sur les conditions de désabonnement, nos politiques de protection des données, ainsi que notre engagement à protéger et respecter la vie privée.

En cliquant sur « S'inscrire » ci-dessous, vous autorisez Christophe Mazzola à stocker et traiter les données personnelles soumises ci-dessus afin de vous fournir le contenu demandé.