Des chercheurs en cybersécurité ont mis au jour une campagne d’espionnage numérique d’une ampleur inédite visant les utilisateurs de smartphones Samsung dans plusieurs pays, dont le Maroc. Cette opération, baptisée LANDFALL, repose sur un logiciel espion capable d’infiltrer les appareils Galaxy sans aucune action de la part de la victime, simplement via l’envoi d’images sur WhatsApp
Des images transformées en armes numériques
Selon un rapport publié par Unit 42, la cellule de recherche de Palo Alto Networks, les attaquants ont exploité une faille critique encore inconnue du public (dite zero-day) dans la bibliothèque de traitement d’images des téléphones Samsung. Identifiée sous le code CVE-2025-21042, cette vulnérabilité a permis aux cyberespions d’intégrer le malware directement dans des fichiers photo au format DNG.
Ces images infectées étaient ensuite envoyées via WhatsApp, sans qu’il soit nécessaire que l’utilisateur clique ou ouvre le fichier. Une fois la brèche ouverte, le logiciel LANDFALL prenait le contrôle total du téléphone : écoute via le micro, géolocalisation, accès aux photos, contacts, messages et historiques d’appels.
Les experts soulignent la sophistication du programme, capable de se dissimuler dans le système et de persister malgré les redémarrages de l’appareil, tout en transmettant discrètement les données collectées vers ses serveurs de commande.
Une opération active depuis la mi-2024
Les premières traces de LANDFALL remontent à l’été 2024, bien avant que Samsung ne corrige la faille en avril 2025. Durant cette période, les pirates ont opéré dans plusieurs pays — notamment l’Irak, l’Iran, la Turquie et le Maroc —, comme l’attestent les fichiers malveillants détectés sur la plateforme VirusTotal.
Les chercheurs de Unit 42 ont également relevé des similitudes techniques entre LANDFALL et d’autres campagnes d’espionnage numérique menées par des acteurs privés du Moyen-Orient, connus dans le milieu de la cybersécurité sous le nom de PSOA (Private Sector Offensive Actors).
Une faille désormais corrigée
Samsung a depuis corrigé la vulnérabilité en publiant un correctif de sécurité, accompagné d’une mise à jour en septembre 2025 pour une autre faille similaire (CVE-2025-21043). Les utilisateurs qui ont installé ces mises à jour ne courent donc plus de risque immédiat.
Cependant, cette affaire met une nouvelle fois en lumière la fragilité des communications chiffrées et des appareils connectés, même chez les grandes marques. Elle illustre surtout la montée en puissance des acteurs privés dans la guerre numérique, capables de concevoir et de déployer des outils d’espionnage d’un niveau autrefois réservé aux services de renseignement étatiques.
Selon Unit 42, « LANDFALL figure parmi les rares logiciels espions découverts alors qu’ils étaient encore actifs, une prouesse technique révélatrice du niveau de sophistication atteint par les cyberattaques modernes ».


