Menées par le groupe de recherche The Citizen Lab, de nouvelles analyses forensiques confirment que deux journalistes, dont l'Italien Ciro Pellegrino du média Fanpage, ont été victimes d'une cyberattaque.
Leurs iPhone ont été infectés par un puissant logiciel espion connu sous le nom de Graphite et développé par la société Paragon Solutions.
Une attaque « zero-click » d'une redoutable efficacité
Les chercheurs ont mis en évidence une attaque de type « zero-click » par le biais d'iMessage. Cela signifie que les victimes n'ont eu besoin d'aucune interaction pour que l'infection se propage. Un simple message a suffi à déployer le spyware.
L'attaque a exploité une vulnérabilité critique référencée CVE-2025-43200 et présente dans iOS 18.2.1. Cette faille permettait de prendre le contrôle en traitant une photo ou une vidéo malveillante partagée via un lien iCloud.
Apple a corrigé la vulnérabilité dans la mise à jour iOS 18.3.1 le 10 février dernier, mais le mal était déjà fait pour les cibles de l'attaque qui a eu lieu en janvier et début février 2025. Dans l'avis de sécurité d'Apple, le cas de la vulnérabilité 0-day CVE-2025-43200 vient seulement d'être ajouté et donc « avoué », sachant qu'une autre vulnérabilité 0-day (CVE-2025-24200) avait par contre été mentionnée.
Un scandale qui éclabousse le gouvernement italien
En Italie, la commission parlementaire pour le contrôle des services de renseignement (COPASIR) a publié un rapport qui semblait vouloir clore le dossier, affirmant n'avoir trouvé aucune preuve d'espionnage contre un autre journaliste de Fanpage, Francesco Cancellato. Les preuves techniques concernant son collègue Ciro Pellegrino remettent tout en question.
Chercheur au Citizen Lab, John Scott-Railton se montre incisif (TechCrunch) : « Il y a une semaine, on aurait dit que l'Italie mettait ce scandale sous le tapis. Maintenant, ils vont devoir faire face à de nouvelles preuves forensiques. »
Qui a espionné les journalistes italiens avec le spyware de Paragon ? Ciro Pellegrino a interpellé directement la Première ministre Giorgia Meloni sur son silence devenu pesant.
L'ombre de Graphite plane sur d'autres victimes
Le Citizen Lab avait déjà confirmé l'infection de deux autres Italiens, Luca Casarini et Beppe Caccia, membres d'une ONG venant en aide aux migrants en mer. Le rapport de la COPASIR a admis que ces deux activistes avaient bien été surveillés par les agences de renseignement italiennes.
D'autres personnes, comme David Yambio, un défenseur des droits des réfugiés, ont aussi reçu des alertes de la part d'Apple. Si son cas est plus flou, l'étau se resserre et montre l'étendue potentielle de l'utilisation des outils de surveillance.
La complexité des analyses et les efforts des créateurs de logiciels espions pour effacer les traces font que la confirmation de chaque infection constitue un véritable défi pour les experts en cybersécurité.
En décembre dernier, la messagerie WhatsApp avait neutralisé une campagne de spyware impliquant Graphite. Près d'une centaine d'utilisateurs de la populaire messagerie avaient été pris pour cible, principalement des journalistes et des militants.
