Des mercenaires du cyberespace au service du plus offrant
Les victimes identifiées sont particulièrement sensibles : deux journalistes égyptiens, un journaliste libanais, ainsi que des cibles dans les gouvernements bahreïni et égyptien. Des ressortissants des Émirats arabes unis, d'Arabie saoudite, du Royaume-Uni et potentiellement des États-Unis figurent également dans le périmètre de l'attaque.
Cette menace pèse directement sur la sécurité des communications professionnelles. Dans un contexte où les entreprises migrent massivement leurs flux téléphoniques vers le cloud, les risques d'interception s'élèvent. On notera d'ailleurs que la FCC a récemment durci ses règles de sécurité pour les opérateurs de téléphonie cloud, signe que la menace est prise très au sérieux par les régulateurs.
Deux méthodes d'attaque, un même objectif : tout aspirer
Les pirates ont déployé deux tactiques distinctes selon le système d'exploitation de la cible. Sur Android, ils ont utilisé un logiciel espion baptisé ProSpy, dissimulé dans de fausses versions d'applications populaires : Signal, WhatsApp, Zoom, mais aussi ToTok et Botim, deux applications de téléphonie très répandues au Moyen-Orient. Selon Lookout, "ProSpy dispose de nombreuses fonctionnalités d'espionnage classiques permettant d'exfiltrer des données sensibles telles que les contacts, les SMS, les informations matérielles et logicielles de l'appareil, ainsi que des fichiers locaux d'intérêt."
Pour les utilisateurs d'iPhone, l'approche est différente mais tout aussi redoutable. Les hackers ont mené des campagnes de phishing ciblées pour voler les identifiants Apple de leurs victimes. Une fois ces accès obtenus, ils ont consulté librement les sauvegardes iCloud associées aux comptes, récupérant l'intégralité des données stockées dans le cloud d'Apple, notamment les historiques d'appels, les messages et les contacts professionnels. L'iPhone lui-même n'est jamais compromis : c'est le cloud qui devient la faille.
Cette approche illustre les risques croissants pesant sur la téléphonie cloud et les données sensibles hébergées à distance, un vecteur d'attaque que les entreprises sous-estiment encore trop souvent.
Ce que cela implique pour les entreprises et leurs communications
L'opération révélée par Lookout illustre une tendance de fond : les attaquants ne cherchent plus à pirater les appareils un à un, mais visent directement les infrastructures cloud où sont centralisées toutes les communications. Pour les organisations qui ont adopté des solutions de téléphonie cloud pour leurs équipes, la sécurisation des accès devient une priorité absolue.
Les experts recommandent d'activer sans délai l'authentification à deux facteurs sur tous les comptes cloud, d'éviter d'installer des applications de messagerie ou de téléphonie hors des stores officiels, et de sensibiliser les collaborateurs aux campagnes de phishing ciblées. La vigilance sur les identifiants Apple ou Google constitue désormais le premier rempart contre ce type d'espionnage industriel.