Un logiciel espion baptisé Landfall a été identifié par les chercheurs d’Unit 42, l’équipe de cybermenace de Palo Alto Networks. Cette découverte met en lumière une faille critique qui touchait plusieurs smartphones Samsung Galaxy récents. Le simple fait d’ouvrir, ou même de prévisualiser, une image piégée pouvait suffire à infecter l’appareil. Samsung a depuis corrigé la vulnérabilité, mais cette attaque souligne une nouvelle fois les limites de la sécurité mobile face aux spyware professionnels.
La faille, désormais documentée sous la référence CVE-2025-21042, était liée au traitement des images au format DNG (Digital Negative). Ce format, très utilisé par les photographes, permet de conserver une image brute, sans compression ni retouche.
Les chercheurs ont découvert que les attaquants avaient trouvé un moyen d’injecter du code malveillant directement dans un fichier DNG. Lorsqu’un smartphone Samsung tentait d’ouvrir ou d’analyser cette image, un bug dans une bibliothèque interne permettait au malware de s’exécuter automatiquement.
Aucune action de l’utilisateur n’était nécessaire : pas de clic, pas de téléchargement volontaire. Il s’agit d’une attaque “zero-click”, l’une des formes les plus dangereuses aujourd’hui.
Landfall : un spyware capable d’espionner tout le téléphone
Une fois installé, Landfall offrait aux cyberattaquants un accès quasi total : activation du micro, écoute des appels, accès aux photos, lecture et exfiltration des fichiers. Il permettait également ‘une surveillance générale de l’activité du téléphone.
Les fichiers piégés découverts comportaient des noms incluant « WhatsApp ». Ce qui laisse penser qu’ils pouvaient transiter par une messagerie populaire. Cependant, les chercheurs précisent qu’aucune preuve technique ne confirme l’utilisation de WhatsApp comme vecteur d’attaque. En théorie, toute plateforme capable d’ouvrir des images DNG pouvait être utilisée. Selon Palo Alto Networks, les premiers fichiers contaminés remontent à mi-2024. La campagne aurait ciblé principalement des utilisateurs situés au Moyen-Orient et en Afrique du Nord
Samsung a publié un correctif de sécurité en avril 2025. Les appareils à jour ne sont donc plus vulnérables. Mais, l’affaire Landfall rappelle la montée en puissance des spyware avancés qui exploitent des failles invisibles dans les couches profondes des systèmes mobiles. Les attaques zero-click, déjà observées avec Pegasus ou Hermit, montrent que l’utilisateur ne représente plus toujours le “maillon faible” : les vulnérabilités logicielles suffisent à compromettre un smartphone.
