Des chercheurs en sécurité affirment avoir identifié un groupe gouvernemental de piratage informatique ciblant des journalistes, des militants et des responsables à travers le Moyen-Orient et l’Afrique du Nord. Les pirates ont eu recours à des attaques de phishing pour accéder aux sauvegardes iCloud et aux comptes de messagerie des cibles sur Signal, et ont déployé un logiciel espion Android capable de prendre le contrôle des appareils des cibles.
Cette campagne de piratage met en évidence une tendance croissante des agences gouvernementales à confier leurs opérations de piratage à des sociétés privées de piratage pour compte d’autrui. Certains gouvernements s’appuient déjà sur des sociétés commerciales qui développent des logiciels espions et des exploits utilisés par la police et les agences de renseignement pour accéder aux données des téléphones des citoyens.
Des chercheurs de l’organisation de défense des droits numériques Access Now ont documenté trois cas d’attaques entre 2023 et 2025 contre deux journalistes égyptiens et un journaliste libanais dont le cas a également été documenté par l’organisation de défense des droits numériques SMEX.
La société de cybersécurité mobile Lookout a également enquêté sur ces attaques. Les trois organisations ont collaboré et publié mercredi des rapports distincts.
Selon Lookout, les attaques vont au-delà des membres de la société civile égyptienne et libanaise et incluent des cibles au sein des gouvernements bahreïnien et égyptien, ainsi que des cibles aux Émirats arabes unis, en Arabie Saoudite, au Royaume-Uni et potentiellement aux États-Unis ou auprès d’anciens étudiants d’universités américaines.
Lookout a conclu que les pirates derrière cette campagne d’espionnage travaillent pour un fournisseur de hackers ayant des liens avec BITTER APT, un groupe de hackers que les sociétés de cybersécurité soupçonnent d’avoir des liens avec le gouvernement indien.
Justin Albrecht, chercheur principal chez Lookout, a déclaré à TechCrunch que la société à l’origine de la campagne pourrait être une émanation de la startup indienne de hack-for-hire Appin, et a noté l’une de ces sociétés nommée RebSec comme suspect possible. En 2022 et 2023, Reuters a publié des enquêtes approfondies sur Appin et d’autres sociétés similaires basées en Inde, qui ont révélé comment ces sociétés auraient été embauchées pour pirater des dirigeants d’entreprise, des politiciens, des responsables militaires et autres.
Événement Techcrunch
San Francisco, Californie
|
13-15 octobre 2026
Appin a apparemment fermé ses portes plus tard, mais Albrecht a noté que la découverte de cette nouvelle campagne de piratage montre que l’activité « n’a pas disparu et s’est simplement déplacée vers des entreprises plus petites ».
Ces groupes et leurs clients bénéficient d’un « déni plausible puisqu’ils gèrent toutes les opérations et infrastructures ». Et pour leurs clients, ces groupes de hackers à louer sont probablement moins chers que l’achat de logiciels espions commerciaux, a déclaré Albrecht.
Rebsec n’a pas pu être contacté pour commenter, car la société a supprimé ses comptes de réseaux sociaux et son site Web.
Contactez-nous
Avez-vous plus d’informations sur Rebsec Solutions ? Ou d’autres sociétés de hack-for-location ? Depuis un appareil non professionnel, vous pouvez contacter Lorenzo Franceschi-Bicchierai en toute sécurité sur Signal au +1 917 257 1382, ou via Telegram et Keybase @lorenzofb, ou par e-mail.
Mohammed Al-Maskati, enquêteur et directeur de la ligne d’assistance sur la sécurité numérique d’Access Now qui a travaillé sur ces cas, a déclaré que « ces opérations sont devenues moins chères et il est possible d’échapper à toute responsabilité, d’autant plus que nous ne saurons pas qui est le client final et que l’infrastructure ne révélera pas l’entité derrière tout cela ».
Même si des groupes comme BITTER ne disposent peut-être pas des outils de piratage et d’espionnage les plus avancés, leurs tactiques peuvent néanmoins s’avérer très efficaces.
Dans la partie attaque de cette campagne, les pirates ont utilisé plusieurs techniques différentes. En ciblant les utilisateurs d’iPhone, les pirates ont tenté de tromper les cibles pour qu’elles abandonnent leurs identifiants Apple afin de pirater ensuite leurs sauvegardes iCloud, ce qui leur aurait effectivement donné accès à l’intégralité du contenu des iPhones des cibles.
Il s’agit « d’une alternative potentiellement moins coûteuse à l’utilisation de logiciels espions iOS plus sophistiqués et plus coûteux », selon Access Now.
En ciblant les utilisateurs d’Android, les pirates ont utilisé un logiciel espion appelé ProSpy, se faisant passer pour des applications de messagerie et de communication populaires comme Signal, WhatsApp et Zoom, ainsi que ToTok et Botim, deux applications populaires au Moyen-Orient.
Dans certains cas, les pirates ont tenté de tromper les victimes pour qu’elles s’enregistrent et ajoutent un nouvel appareil – contrôlé par les pirates – à leur compte Signal, une technique qui a été populaire parmi divers groupes de hackers, y compris les espions russes.
Un porte-parole de l’ambassade indienne à Washington, DC, n’a pas immédiatement répondu à une demande de commentaire.
