Un rapport récent de Unit 42, l’équipe cybersécurité de Palo Alto Networks, révèle que le Maroc figure parmi les pays potentiellement touchés par le logiciel espion sophistiqué LANDFALL, initialement conçu à usage commercial mais extrêmement efficace.
D’après l’étude, qui s’appuie sur l’analyse de fichiers DNG malveillants déposés sur VirusTotal, des cibles ont été identifiées au Maroc, en Irak, en Iran et en Turquie. Les utilisateurs marocains, bien que peu nombreux, sont spécifiquement visés par cette technologie coûteuse, souvent déployée par des agences privées ou des entités étrangères.
Une menace particulièrement ciblée
LANDFALL exploite principalement les smartphones Samsung Galaxy vulnérables sur Android. Le spyware permet aux attaquants d’obtenir un contrôle complet de l’appareil, incluant :
- L’enregistrement du microphone
- La géolocalisation en temps réel
- L’accès aux photos et fichiers multimédias
- La consultation des contacts et historiques d’appels
Les infections se font via des fichiers DNG apparemment inoffensifs, transmis par des applications populaires comme WhatsApp. L’ouverture du fichier déclenche l’installation automatique du malware.
La DGSSI avait déjà alerté les utilisateurs marocains sur une faille critique dans WhatsApp, qui pouvait être exploitée par ce type de logiciels espions.
WhatsApp comme vecteur discret
Unit 42 précise que LANDFALL utilise des fichiers DNG anodins pour infecter les appareils, rendant l’attaque très difficile à détecter. Même des utilisateurs prudents peuvent être touchés, notamment des journalistes, activistes, diplomates ou responsables gouvernementaux, car le logiciel cible des individus précis plutôt que de se propager aléatoirement.
Ciblage stratégique
LANDFALL ne se diffuse pas massivement mais vise des personnes à « valeur élevée » :
- Acteurs de la sécurité et de la diplomatie
- Membres des cercles décisionnels
- Journalistes, activistes et opposants politiques
Cette approche en fait l’un des spywares les plus puissants et discrets récemment détectés.
Enjeux pour le Maroc
La présence potentielle de LANDFALL dans le pays soulève des questions cruciales pour la sécurité nationale et la protection des données personnelles. Les recommandations des experts incluent :
- Vigilance lors de l’ouverture de fichiers provenant de sources inconnues
- Utilisation d’applications de sécurité et d’antivirus à jour
- Sensibilisation aux techniques d’ingénierie sociale et aux fichiers malveillants
Points à retenir :
- Bien que Samsung ait corrigé la vulnérabilité en avril 2025, les appareils non mis à jour restent exposés. L’activité du spyware remonte à juillet 2024.
- Le ciblage d’utilisateurs « à valeur élevée » suggère un usage potentiellement politique ou de renseignement.
- Le choix du Maroc comme cible mérite une attention particulière concernant la sécurité numérique, les droits des citoyens et la vulnérabilité des smartphones dans les milieux sensibles.