Photo titre : L’infrastructure des logiciels espions israéliens a été utilisée par des gouvernements dans plus de dix pays pour suivre des personnes. Crédit : Citizen Lab
Le rapport montre comment un exploit SMS transforme les smartphones en dispositifs de suivi – et comment les réseaux 4G et 5G sont abusés
L’infrastructure télécom israélienne a été utilisée pour suivre des citoyens dans plus de dix pays au cours des trois dernières années, selon un rapport récemment publié par le groupe de recherche numérique Citizen Lab.
Les résultats, examinés ces dernières semaines par Haaretz, révèlent comment les efforts pour moderniser les infrastructures réseau téléphoniques construites dans les années 1970 pour l’ère des smartphones laissent encore les appareils les plus avancés exposés à la surveillance.
Le rapport décrit deux opérations de suivi distinctes, chacune probablement dirigée par une entreprise commerciale vendant des technologies de surveillance aux gouvernements du monde entier. L’un d’eux a également été découvert avoir exploité la technologie de géolocalisation israélienne pour suivre des cibles, en utilisant des réseaux appartenant à 019Mobile et Partner Communications, bien que les deux entreprises israéliennes aient nié toute implication.
Une seconde opération, plus sophistiquée, est liée à une entreprise suisse au centre d’une enquête Haaretz en 2023 pour avoir fourni des sociétés de surveillance israéliennes, dont Rayzone, qui développe et vend des technologies de cyberrenseignement à des agences gouvernementales du monde entier.
L’enquête a révélé que la société suisse de télécommunications permettait à des entreprises comme Rayzone de se faire passer pour des opérateurs mobiles et de se connecter à des réseaux mobiles hérités afin de suivre des utilisateurs dans le monde entier, exploitant un ancien protocole de signalisation télécom appelé SS7 à des fins de surveillance. SS7 a été initialement conçu pour acheminer les appels et les messages texte, permettre l’itinérance internationale et connecter différents opérateurs mobiles.
Les régulateurs britanniques ont interdit cette pratique la semaine dernière dans le but de sévir contre le suivi des logiciels espions, après plus d’une décennie de reportages d’investigation sur ses abus, qualifiant cette pratique de principale source de trafic malveillant vers les réseaux mobiles.
De plus, les résultats de Citizen Lab montrent que les systèmes de signalisation plus récents – introduits pour renforcer les mesures de sécurité – sont exploités de manière similaire par les entreprises de logiciels espions, bien qu’ils soient conçus pour atténuer les risques de sécurité et prévenir la surveillance.
Un exemple est Diameter, un système de réseau mobile qui gère l’itinérance internationale 4G et la plupart des réseaux 5G, conçu pour simplifier la connectivité cellulaire à Internet, qui s’est désormais révélée vulnérable au logiciel espion de suivi.
Lors de la première opération découverte par Citizen Lab, les chercheurs ont enregistré plus de 500 tentatives de localisation entre novembre 2022 et 2025 à travers la Thaïlande, l’Afrique du Sud, la Norvège, le Bangladesh, la Malaisie et plusieurs autres pays africains. L’enquête a commencé avec un seul abonné : un homme d’affaires du Moyen-Orient suivi méthodiquement pendant quatre heures dans un épisode qui a ouvert la porte au schéma plus large que les chercheurs ont ensuite cartographié : une entreprise interrogeant le système téléphonique international au nom de ses clients pour suivre des cibles.
Un porte-avions israélien, le 019Mobile, a été utilisé lors de l’opération. Selon les informations obtenues par Haaretz, des dizaines de tentatives de suivi distinctes semblent avoir traversé les serveurs de 019 – des requêtes qui ne ressemblaient pas à des communications légitimes mais à de la surveillance. Chaque réseau mobile possède une adresse unique – similaire à une adresse web – que d’autres entreprises de télécommunications utilisent pour acheminer les appels et le trafic de données. Citizen Lab a constaté que les adresses enregistrées au nom de 019 étaient utilisées pour envoyer des requêtes de localisation via Partner Communications, dont l’infrastructure dépend de 019. Une autre route passait par Exelera Telecom, une société israélienne qui fournit des services cloud et de communication, y compris un câble international sous-marin en fibre optique. Exelera n’a pas répondu à la demande de commentaire de Haaretz.
Le responsable de la sécurité de 019Mobile, Gil Nagar, a nié toute implication, écrivant que l’entreprise est un opérateur virtuel, vendant un service sur le réseau d’un autre opérateur sans en faire fonctionner le sien, et n’ayant aucun accord d’itinérance avec des opérateurs étrangers. Il a déclaré que les messages envoyés en son nom auraient de toute façon été « rejetés ». Citizen Lab affirme que la personne derrière l’opération aurait pu falsifier l’identité de 019 pour y accéder.
Bien que les chercheurs canadiens ne rendent pas publics les fournisseurs derrière ces opérations, ils signalent plusieurs suspects potentiels – parmi eux Cognyte, une entreprise israélo-américaine qui fournit des services similaires à des clients gouvernementaux.
Des fichiers internes obtenus par Haaretz montrent que la société mère de Cognyte, Verint, a vendu un produit appelé SkyLock – un outil de suivi basé sur SS7 – à un client gouvernemental en République démocratique du Congo.
SkyLock utilise l’ancien système d’itinérance pour localiser les appareils partout dans le monde. Les fichiers montrent également les liens commerciaux de l’entreprise avec des opérateurs en Thaïlande, Malaisie, Indonésie, Vietnam et Congo – certains des mêmes pays où la première campagne de suivi a été identifiée par la suite. L’un de ces opérateurs, AIS Thaïlande, apparaît également comme source de trafic dans cette campagne.
Une autre opération est attribuée à Fink Telecom Services – une société suisse dénoncée par Haaretz et Lighthouse Reports en 2023 pour avoir fourni des capacités de suivi basées sur SS7 à des sociétés de surveillance, leur permettant de localiser le réseau mobile comme s’ils étaient des opérateurs mobiles.
Les chercheurs affirment que les infrastructures mobiles plus récentes, destinées précisément à empêcher ce type d’abus, sont exploitées de manière très similaire à l’ancien système qu’elles devaient rendre obsolète. En fait, cela montre comment les anciens et nouveaux systèmes de signalisation sont utilisés en tandem pour tenter de trouver des personnes.
Une méthode consiste à déployer une technique exploitant les vulnérabilités des cartes SIM, montrant comment les entreprises et les opérateurs fantômes adaptent leurs méthodes de surveillance à mesure que l’infrastructure télécom évolue. Le téléphone cible reçoit un message texte caché contenant une commande secrète qui invite la carte SIM à transmettre la position de l’appareil – sans que l’utilisateur en soit informé et sans laisser de trace visible sur le téléphone.
Citizen Lab a identifié plus de 15 700 tentatives de suivi de ce type depuis fin 2022. Lorsque Haaretz et Lighthouse Reports ont révélé l’activité de Fink en 2023, ils n’ont pas encore utilisé cette technique, connue sous le nom de SIMjacking.
Fink, Exelera Telecom et Verint/Cognyte n’ont pas répondu. Son associé a déclaré à Haaretz que l’entreprise « n’a aucun lien avec l’affaire en cours et que toute tentative de lier son nom à celui-ci est erronée. »
HAARETZ – Omer Benjakob – 3 mai 2026