Le fichier le plus innocent de votre téléphone – une photographie numérique – s’est avéré être un cheval de Troie pendant près d’un an. Un puissant outil de surveillance de qualité commerciale baptisé LANDFALL a exploité avec succès une faille secrète dans les téléphones Samsung Galaxy, permettant aux pirates d’en prendre le contrôle total simplement en envoyant une image malveillante.
Samsung a corrigé la principale vulnérabilité Zero Day (CVE-2025-21042) dans la bibliothèque de traitement d’images du Galaxy en avril 2025. Cependant, les chercheurs en sécurité ont confirmé que les attaques ciblées étaient déjà actives dès juillet 2024. Il s’agissait d’une attaque très simple à mener par rapport à sa gravité. La faille était cachée au plus profond du composant de gestion des photos du Galaxy, attendant qu’un fichier image DNG malveillant la déclenche.
Une faille du téléphone Samsung Galaxy S a permis une surveillance complète via le logiciel espion LANDFALL
Les attaquants auraient envoyé aux victimes un fichier DNG corrompu, souvent déguisé avec des noms communs comme « Image WhatsApp… ». Ce fichier contenait une archive ZIP intégrée. La chaîne d’exploit a ensuite forcé le téléphone à décompresser et à exécuter LANDFALL, souvent sans que l’utilisateur ait besoin d’interagir avec l’image. Oui, il s’agissait d’une attaque « zéro clic » capable d’échapper aux soupçons des utilisateurs.
Une fois activé, LANDFALL a transformé le téléphone Samsung ciblé en une véritable machine à espionner. Il était capable de collecter des données sensibles : enregistrer le microphone, suivre la localisation et voler des photos, des contacts, des SMS et des journaux d’appels. Le logiciel espion ciblait spécifiquement les produits phares haut de gamme, notamment les séries Galaxy S22, S23 et S24. Différents modèles Z Fold et Z Flip ont également été concernés. Les chercheurs ont suivi les attaques contre des individus au Moyen-Orient, en particulier en Irak, en Iran, en Turquie et au Maroc.
Le niveau professionnel de LANDFALL suggère un développement par un fournisseur sophistiqué. L’analyse de l’infrastructure du logiciel espion a révélé des chevauchements intrigants avec un groupe de surveillance tristement célèbre connu sous le nom de Stealth Falcon. Ce groupe a déjà été associé à l’espionnage au niveau de l’État.
Il semble que la chaîne d’attaques fasse partie d’une tendance plus large. Une faille d’image DNG similaire a également récemment exploité des appareils iOS.
