Trois entreprises de cybersécurité, Access Now, Lookout et SMEX, ont publié des rapports complémentaires documentant une campagne d’espionnage ciblée contre des journalistes, des activistes et des responsables gouvernementaux au Moyen-Orient, en Afrique du Nord, au Royaume-Uni et potentiellement aux États-Unis, en lien avec Apple, iCloud et l’iPhone. Leur conclusion est que les hackers n’ont pas eu besoin de failles sophistiquées.

iCloud Logo

Les sauvegardes iCloud dans le viseur des hackers

Lookout attribue la campagne à BITTER APT qui émane d’Appin, une start-up indienne spécialisée dans le piratage à la demande. Access Now a enquêté trois séries d’attaques survenues entre 2023 et 2025. L’arsenal employé tranche avec les récents outils de piratage Coruna et DarkSword qui enchaînaient des failles de sécurité connues pour compromettre d’anciens iPhone et iPad. Ici, le vecteur principal est le phishing.

Pour cibler les utilisateurs d’iPhone, BITTER APT cherche à leur soutirer leurs comptes Apple afin d’accéder à leurs sauvegardes iCloud et donc au contenu intégral de leur iPhone. Lookout a répertorié près de 1 500 adresses Web malveillantes imitant des services légitimes, dont plusieurs ciblant spécifiquement Apple :

  • facetime-web[.]me-en[.]io
  • apple[.]id-us[.]cc
  • icloud[.]com-ar[.]me
  • icloud[.]com-service[.]info
  • signin-apple[.]com-en-uk[.]info

La campagne visait bien au-delà d’Apple. Google, Microsoft, Signal, WhatsApp et Yahoo figuraient également parmi les cibles, avec des techniques variables selon la plateforme. Ce qui unit ces attaques, c’est leur modèle économique.

Justin Albrecht, chercheur principal chez Lookout, résume le mécanisme : les groupes proposant du piratage à la demande offrent à leurs clients un système fonctionnel puisqu’ils gèrent toutes les opérations et l’infrastructure. Et pour les États ou agences qui les mandatent, ces groupes coûtent probablement moins cher que l’achat d’un logiciel espion commercial. Cela illustre ainsi une tendance croissante : l’externalisation des opérations de piratage étatique à des prestataires privés qui absorbent le risque juridique et opérationnel.