Les chercheurs de Palo Alto Networks viennent de parler publiquement l’existence de « Landfall », un logiciel espion Android qui a ciblé spécifiquement les téléphones Samsung Galaxy entre juillet 2024 et février 2025.
Pour aller plus loin
Comment sécuriser votre smartphone, votre tablette ou votre PC ? Le guide ultime !
La technique d’attaque est particulièrement vicieuse : il suffisait de recevoir une image piégée, probablement via WhatsApp, pour compromettre totalement votre appareil. Pas besoin de cliquer, pas besoin d’installer quoi que ce soit. Juste recevoir un fichier DNG (format d’image raw) malveillant.
Samsung a corrigé la faille (CVE-2025-21042) en avril 2025, mais les détails de cette campagne restaient inconnus jusqu’à maintenant.
Une attaque zero-click qui vise des individus précis
Le terme « zero-day » signifie que Samsung ne connaissait pas l’existence de cette faille au moment où elle a été exploitée. Les attaquants avaient donc un avantage décisif. La vulnérabilité était nichée dans une bibliothèque de traitement d’images (« libimagecodec.quram.so ») et permettait l’exécution de code à distance.
L’analyse technique montre une complexité inquiétante : les fichiers DNG malveillants contenaient un fichier ZIP caché à la fin, avec le logiciel espion et un outil pour manipuler les permissions SELinux du système. Autrement dit : les attaquants contournaient les protections Android de manière chirurgicale.
Les cibles ? Principalement des individus au Moyen-Orient (Irak, Iran, Turquie, Maroc) selon les données de VirusTotal. Les chercheurs parlent d’« attaques de précision », pas d’un malware diffusé massivement. En gros, quelqu’un payait cher pour espionner des personnes spécifiques. Journalistes, militants, dissidents ? Les chercheurs restent prudents sur l’attribution, mais les indices pointent vers des motivations d’espionnage gouvernemental.
Un arsenal de surveillance total
Une fois installé, Landfall transforme votre Galaxy en mouchard intégral :
- Enregistrement audio via le microphone en continu
- Géolocalisation précise de vos déplacements
- Extraction complète de vos photos, SMS, contacts et historique d’appels
- Accès aux fichiers stockés sur l’appareil
- Communication chiffrée avec des serveurs de commande pour recevoir des instructions
Le logiciel espion ciblait spécifiquement cinq modèles : Galaxy S22, S23, S24, Z Fold 4 et Z Flip 4. Pas les derniers Galaxy S25 donc, mais une large gamme d’appareils haut de gamme encore massivement utilisés. Les chercheurs estiment que la vulnérabilité pouvait également affecter d’autres modèles Galaxy sous Android 13 à 15.
Ce qui frappe, c’est la modularité du système. Landfall n’est pas un logiciel espion monolithique mais un « framework » capable de télécharger des modules supplémentaires depuis ses serveurs. Les chercheurs n’ont pas pu analyser ces composants additionnels, mais on imagine sans peine qu’ils étendaient encore les capacités de surveillance.
Des liens troublants avec Stealth Falcon
L’Unité 42 a identifié des similitudes d’infrastructure entre Landfall et Stealth Falcon, un fournisseur de surveillance connu pour avoir ciblé des journalistes et militants émiratis dès 2012. Mêmes patterns d’enregistrement de domaines, serveurs de commande similaires.
Mais les chercheurs restent prudents : ces indices ne suffisent pas pour attribuer clairement la campagne à un gouvernement spécifique. Le Moyen-Orient regorge de pays disposant de capacités cyber offensives développées, et le marché de la surveillance commerciale est opaque.
Ce qui est certain, c’est que l’équipe nationale turque de cybersécurité (USOM) a signalé comme malveillante l’une des adresses IP utilisées par Landfall. Cela confirme que des individus en Turquie ont bien été ciblés.
Samsung et la communication problématique des zero-days
Samsung a corrigé la faille en avril 2025 sans mentionner publiquement qu’elle était activement exploitée. C’est un pattern récurrent dans l’industrie : minimiser la communication sur les vulnérabilités critiques pour éviter la panique, au risque de laisser des millions d’utilisateurs dans l’ignorance.
Le problème ? Une autre faille dans la même bibliothèque (CVE-2025-21043) a été exploitée publiquement en septembre 2025. Deux vulnérabilités zero-day dans le même composant en quelques mois, ça commence à ressembler à un problème structurel de sécurité du code.
Pour aller plus loin
Comment sécuriser votre smartphone, votre tablette ou votre PC ? Le guide ultime !
Ce contenu est bloqué car vous n'avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Disqus.
Pour pouvoir le visualiser, vous devez accepter l'usage étant opéré par Disqus avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l'amélioration des produits d'Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l'audience de ce site (en savoir plus)
En cliquant sur « J’accepte tout », vous consentez aux finalités susmentionnées pour l’ensemble des cookies et autres traceurs déposés par Humanoid et ses partenaires.
Vous gardez la possibilité de retirer votre consentement à tout moment. Pour plus d’informations, nous vous invitons à prendre connaissance de notre Politique cookies.
Gérer mes choix