Oubliez les mails frauduleux avec des liens douteux. En 2025, les pirates informatiques n’ont plus besoin que vous cliquiez sur quoi que ce soit pour s’introduire dans votre téléphone. Bienvenue dans l’ère des attaques zéro clic, une menace numérique silencieuse, indétectable, et redoutablement efficace.
Une intrusion sans clic, sans alerte, sans trace
Les attaques dites zero-click permettent à un hacker de prendre le contrôle d’un appareil – smartphone, tablette, ordinateur – sans que l’utilisateur n’ait à interagir. Un simple message reçu, un appel ou même un fichier invisible suffisent à exploiter une faille dans une application ou un système d’exploitation. L’utilisateur ne voit rien, ne sait rien. Mais ses données sont potentiellement entre les mains d’un espion, d’un criminel ou d’un État.
Si ces techniques ultra-sophistiquées étaient autrefois réservées à l’espionnage de chefs d’État, de journalistes ou d’opposants politiques, elles se démocratisent à mesure que le marché noir des failles numériques explose.
Une technologie coûteuse, désormais plus accessible
Sur le dark web, certaines failles exploitables « sans clic » s’arrachent à prix d’or : jusqu’à un million de dollars pour une faille touchant un système populaire. Des courtiers peu scrupuleux les revendent à des gouvernements ou des groupes mafieux, alimentant un marché parallèle aussi opaque que lucratif.
Pour l’heure, ces attaques visent encore majoritairement des cibles à haute valeur ajoutée. Mais des experts alertent : le nombre de tentatives augmente, tout comme le risque pour le grand public de devenir une cible collatérale.
Le logiciel espion Pegasus, développé par la société israélienne NSO Group, a révélé au monde entier la puissance de ces attaques. En 2021, des enquêtes ont montré que des centaines de personnalités, dont Emmanuel Macron ou Jamal Khashoggi, avaient été espionnées à leur insu via leur smartphone, sans avoir cliqué sur aucun lien.
Plus récemment, en 2024, l’application TikTok a été visée par une attaque de ce type, compromettant notamment des comptes de journalistes de CNN. ByteDance, maison mère de TikTok, n’a jamais confirmé officiellement la nature de l’intrusion, mais plusieurs experts y ont vu la signature d’un exploit « zéro clic ».
Des défenses limitées face à une menace invisible
Comment se protéger ? C’est là toute la difficulté. Même les appareils les mieux sécurisés peuvent être vulnérables. Les spécialistes recommandent néanmoins quelques mesures de bon sens :
- Maintenir ses appareils à jour.
- Redémarrer régulièrement smartphones et ordinateurs.
- Activer les modes de sécurité renforcés comme le « Lockdown Mode » d’Apple.
- Éviter d’installer des applications inutiles.
- Privilégier les messageries chiffrées et vérifiées.
Mais ces précautions ne suffiront pas face à des attaques menées par des puissances étatiques ou des mafias équipées.
Le danger des données « télémetriques »
Les géants de la tech – Apple, Google, Microsoft – s’appuient sur les données de milliards d’appareils pour détecter ces attaques. Grâce à la télémetrie, ils peuvent corriger certaines failles très rapidement, via des mises à jour automatisées. Mais cela soulève aussi des inquiétudes sur la collecte massive de données personnelles sous prétexte de sécurité.
Face à l’explosion du marché des logiciels espions, la question se pose : que fait la France pour se protéger ? Le public n’en sait rien, mais l’affaire Pegasus a montré que même les présidents ne sont pas à l’abri. Il est temps de sortir de l’aveuglement.
La cyber-défense ne peut plus être réservée aux experts. Dans un monde où même un SMS silencieux peut ouvrir une brèche dans notre intimité, la vigilance numérique doit devenir une priorité nationale – et citoyenne.
