Spyware LANDFALL : des téléphones au Maroc ciblés par une campagne d’espionnage

Le Maroc figure parmi les pays ciblés par LANDFALL, un logiciel espion d’une redoutable efficacité, selon un rapport récent de Unit 42, l’équipe cybersécurité de Palo Alto Networks. Conçu pour un usage commercial de haut niveau, ce programme aurait été employé dans des opérations de cyberespionnage ciblant des individus considérés comme « à haute valeur stratégique ».

L’analyse de fichiers DNG (Digital Negative) malveillants, détectés sur la plateforme VirusTotal, a révélé des attaques au Maroc, en Irak, en Iran et en Turquie. Ces fichiers, apparemment anodins, sont en réalité conçus pour infecter les smartphones Samsung Galaxy en exploitant une faille spécifique d’Android.

Une fois infiltré, LANDFALL permet un contrôle total de l’appareil infecté, notamment l’activation à distance du microphone et de la caméra, le suivi en temps réel de la géolocalisation, l’accès aux photos, vidéos, contacts et messages, ainsi qu’à l’historique des appels et aux fichiers internes.

Lire aussi: Alerte cybersécurité : les notaires saisissent la justice après une fuite

WhatsApp, un vecteur d’infection discret

Selon le rapport, les cyberespions propagent le malware via des images DNG partagées sur WhatsApp ou d’autres applications de messagerie courantes. L’ouverture d’un simple fichier suffit à déclencher l’installation du spyware, à l’insu de l’utilisateur.

La Direction générale de la sécurité des systèmes d’information (DGSSI) avait déjà alerté à plusieurs reprises sur les vulnérabilités critiques de WhatsApp, pouvant être exploitées même par l’envoi d’une photo ou d’un document apparemment inoffensif.

Des cibles « à haute valeur »

LANDFALL ne vise pas le grand public, mais des profils précis, tels que les diplomates, responsables gouvernementaux, journalistes, militants et défenseurs des droits humains, ainsi que des personnes proches des cercles de décision politique. Cette sélection indique une utilisation à des fins de renseignement ou d’influence, plutôt qu’une simple campagne de piratage massif.

Bien que Samsung ait corrigé la faille en avril 2025, de nombreux appareils non mis à jour restent vulnérables. Unit 42 précise que la campagne LANDFALL aurait commencé dès juillet 2024, avant la diffusion du correctif.

Lire aussi: Cybersécurité au Maroc : l’heure de la réinvention

Pour les experts, la présence potentielle de ce spyware au Maroc soulève des enjeux majeurs en matière de sécurité nationale, de protection des données personnelles et de liberté de la presse. Il est donc recommandé de :

• Mettre immédiatement à jour son système Android et ses applications, en particulier WhatsApp et les outils de messagerie.
• Éviter d’ouvrir tout fichier inconnu ou inattendu, même s’il provient d’un contact de confiance, car il pourrait s’agir d’un compte compromis.
• Utiliser un antivirus mobile fiable et activer la détection en temps réel.
• Désactiver les autorisations excessives (micro, caméra, stockage) pour les applications non essentielles.
• Sauvegarder régulièrement ses données sur un support sécurisé.
• Privilégier une messagerie chiffrée de bout en bout et vérifier l’identité des correspondants avant d’ouvrir des pièces jointes.
• Former et sensibiliser les professionnels exposés (journalistes, diplomates, ONG) aux techniques d’ingénierie sociale et de phishing.