Depuis 2021, Apple envoie des campagnes de notifications aux individus ciblés par des attaques menées à l’aide de logiciels espions.
Ces logiciels, tels que Pegasus, Predator, Graphite ou Triangulation sont particulièrement sophistiqués et difficiles à détecter.
Ces attaques complexes ciblent des individus pour leur statut ou leur fonction : journalistes, avocats, militants, hommes politiques, hauts fonctionnaires, membres de comités de direction de secteurs stratégiques, etc.
La réception d'une notification signifie qu'a minima un des appareils liés au compte iCloud a été ciblé et serait potentiellement compromis.
La notification se traduit par la réception d'un iMessage et d’un courriel d'alerte envoyé par Apple (depuis l'adresse threat-notifications[at]email.apple.com ou threat-notifications[at]apple.com). Lors de la connexion au compte iCloud, une alerte est affichée. Le temps entre la tentative de compromission et la réception de la notification est de plusieurs mois, mais reste variable.
Il est important de prendre en compte rapidement ces notifications et de mettre en œuvre les mesures adéquates documentées ci-après.
Cette alerte recense l'ensemble des vagues de notifications envoyées par Apple et connues du CERT-FR, depuis le 5 mars 2025. La liste des campagnes de notification référencée ici n'est donc pas exhaustive : elle n’inclut que les campagnes connues du CERT-FR.
Historique des campagnes d'alerte connues du CERT-FR
La liste des campagnes de notification référencée ici n'est pas exhaustive : seules les campagnes connues du CERT-FR en 2025 sont référencées.
- 5 mars 2025
- 29 avril 2025
- 25 juin 2025
- 3 septembre 2025
Réagir à une alerte
En cas de réception d'une notification de de la part d'Apple, il est recommandé de :
- Contacter rapidement le CERT-FR (https://cert.ssi.gouv.fr/contact) pour bénéficier d'une assistance technique ;
- Conserver le courriel de notification envoyé par Apple ;
- Éviter d'engager des modifications sur l'équipement (remise à zéro, suppression d'applications, mise à jour, redémarrage, etc.). Ces actions peuvent entraver les investigations.
Diminuer le risque de compromission
Les notifications envoyées font état d'attaques hautement sophistiquées employant pour la plupart des vulnérabilités jour-zéro, voire ne nécessitant aucune interaction de l'utilisateur.
Les bonnes pratiques suivantes participent à mieux protéger le téléphone contre ce type d'attaque :
- Mettre à jour les équipements le plus rapidement possible avec la version la plus récente. Les mises à jour d'Apple corrigent souvent des vulnérabilités exploitées par des logiciels espions ;
- Activer les mises à jour automatiques, notamment les mises à jour de sécurité ;
- Cloisonner au maximum les usages personnels et professionnels, idéalement en utilisant des appareils différents ;
- Activer le "Mode Isolement" pour renforcer la sécurité de vos appareils Apple ;
- Redémarrer régulièrement votre appareil, idéalement une fois par jour.
Plus généralement, les mesures suivantes participent à votre bonne hygiène informatique :
- Ne pas cliquer sur des liens ou pièces jointes suspects ;
- Configurer un code d'accès robuste et unique ;
- Utiliser l'authentification à deux facteurs dès que possible ;
- Éviter l'installation d'applications inconnues ou depuis des magasins d'applications alternatifs.
Environnements professionnels
En environnement professionnel, il est recommandé de :
- Fournir des appareils maîtrisés et dédiés à un usage professionnel ;
- Avoir une vigilance particulière sur les courriels provenant des adresses threat-notifications[at]email.apple.com et threat-notifications[at]apple.com ;
- Laisser les équipements électroniques en dehors de la pièce lors de réunions sur des sujets sensibles.
