200 personnes surveillées sur leur iPhone, via une copie quasi parfaite de WhatsApp. L’application piégée ne venait pas de cybercriminels russes ou nord-coréens, mais d’une entreprise italienne qui vend ses outils aux forces de l’ordre.

WhatsApp a révélé mardi avoir identifié un clone malveillant de son application, conçu par la société SIO, basée à Cantù en Lombardie. Le logiciel espion, développé par sa filiale ASIGINT, s’appelle Spyrtacus, un nom repéré dans le code source de l’application. La messagerie du groupe Meta a déconnecté les victimes, les a alertées, et prépare une mise en demeure contre l’entreprise.

Un clone indétectable qui aspirait tout

Spyrtacus n’exploitait aucune faille de WhatsApp. La technique est plus rudimentaire et, d’une certaine manière, plus efficace : convaincre la cible de télécharger elle-même une fausse application, rapporte TechCrunch. Les victimes recevaient un lien, probablement envoyé avec la complicité de leur opérateur téléphonique, et installaient ce qu’elles pensaient être une mise à jour ou une nouvelle version de WhatsApp.

Une fois en place, le logiciel pouvait voler les SMS, lire les conversations sur les réseaux sociaux, copier les contacts, enregistrer les appels téléphoniques et le son ambiant, et même activer les caméras de l’appareil, selon l’analyse technique publiée par TechRadar et Candid Technology en 2025 lorsque la version Android de Spyrtacus avait été découverte.

Détail troublant : le chiffrement de bout en bout de WhatsApp restait intact. L’espionnage ne passait pas par une faille dans le protocole de la messagerie, mais par le fait que la victime utilisait une application entièrement contrôlée par l’attaquant. L’équivalent numérique d’un faux distributeur de billets qui vous filme pendant que vous tapez votre code.

L’Italie, laboratoire européen de la surveillance

Ce n’est pas un incident isolé. En janvier 2025, WhatsApp avait déjà alerté 90 personnes ciblées par Paragon Solutions, un fabricant de spyware israélo-américain. Parmi les victimes : des journalistes italiens et des militants pro-immigration. Le scandale avait poussé Paragon à rompre son contrat avec les services de renseignement italiens.

En mars 2026, la justice italienne a confirmé que le journaliste Francesco Catracchia avait bien été espionné via le logiciel Paragon, mais personne n’a encore identifié le commanditaire. Les procureurs de Rome poursuivent l’enquête.

Avec SIO, c’est une deuxième entreprise de surveillance italienne impliquée en quelques mois. TechCrunch avait déjà révélé en février 2025 que SIO distribuait des applications Android malveillantes depuis plusieurs années, déguisées en outils de support client d’opérateurs mobiles. La version iPhone découverte cette semaine démontre que l’opération visait aussi les utilisateurs d’Apple, longtemps considérés comme mieux protégés.

Des victimes que personne ne veut identifier

WhatsApp refuse pour l’instant de préciser le profil des 200 personnes ciblées. Journalistes, avocats, militants, opposants politiques ? La porte-parole Margarita Franklin a déclaré à TechCrunch que « la priorité a été de protéger les utilisateurs piégés par cette fausse application iOS ». SIO, de son côté, n’a pas répondu aux sollicitations de la presse.

L’agence ANSA et le quotidien La Repubblica, qui ont révélé l’affaire en Italie, précisent que la plupart des victimes se trouvaient sur le territoire italien. SIO se présente sur son site comme un partenaire des « forces de l’ordre, organisations gouvernementales, police et agences de renseignement ». L’Académie italienne d’interception légale certifie d’ailleurs un produit de SIO, baptisé SIOAGENT, selon des documents consultés par TechRadar.

WhatsApp, premier à traîner l’industrie du spyware en justice

La messagerie n’en est pas à son coup d’essai. En 2019, WhatsApp avait engagé des poursuites contre NSO Group, le fabricant israélien de Pegasus, pour avoir exploité une faille de l’application afin d’infecter les téléphones de journalistes et de défenseurs des droits humains. Après cinq ans de procédure, un jury californien avait condamné NSO à verser des dommages et intérêts.

WhatsApp avait alors revendiqué une « première » : jamais une entreprise de spyware commercial n’avait été reconnue responsable devant un tribunal américain. Le message envoyé à SIO s’inscrit dans la même logique : une mise en demeure formelle qui pourrait déboucher sur de nouvelles poursuites.

Comment les opérateurs télécoms participent au piège

L’une des particularités du modèle italien est la collaboration présumée entre les fabricants de spyware et les opérateurs de téléphonie mobile. Comme l’a documenté TechCrunch, ces derniers envoient parfois des liens de phishing à leurs propres clients, à la demande des forces de l’ordre. L’utilisateur reçoit un message qui semble provenir de son opérateur, l’invitant à installer une application de « support technique » ou à « mettre à jour » WhatsApp.

Cette méthode, bien documentée depuis le scandale Hermit en 2022 (un autre logiciel espion italien repéré par Google), transforme la confiance envers son fournisseur d’accès en vecteur d’attaque. En Italie, la loi autorise l’interception judiciaire sous contrôle d’un magistrat, mais les frontières entre surveillance légale et abus restent floues, comme le montrent les affaires Paragon et SIO.

L’ingénierie sociale reste plus dangereuse que le piratage

Le cas SIO rappelle une réalité inconfortable : les failles les plus exploitées ne sont pas dans le code, mais dans le comportement des utilisateurs. Télécharger une application en dehors des magasins officiels, cliquer sur un lien envoyé par un numéro inconnu, accepter une « mise à jour » proposée par SMS : ces gestes anodins suffisent à compromettre un téléphone, chiffrement ou pas.

WhatsApp recommande de ne jamais installer l’application depuis un lien reçu par message, et de vérifier systématiquement que la version utilisée provient de l’App Store ou du Google Play Store. Apple, de son côté, n’a pas commenté la découverte d’un clone de WhatsApp sur iOS, ce qui pose la question de la manière dont l’application piégée a contourné les contrôles de l’App Store, ou si elle a été installée via un profil de configuration.

À lire aussi

Condamné à 8 ans, le créateur du logiciel espion Predator refuse de couler seul
23 failles iOS dans un seul kit : du spyware d’État au vol de cryptos
Signal et WhatsApp : la Russie lit vos messages sans casser le chiffrement

L’affaire tombe au moment où l’Union européenne renforce l’encadrement des logiciels espions. Une commission d’enquête du Parlement européen avait déjà recommandé en 2023 un moratoire sur les outils de surveillance intrusifs, sans résultat concret. WhatsApp prévient que d’autres actions suivront. La prochaine cible pourrait ne pas être une entreprise installée dans une petite ville de Lombardie.