Suis-je ciblé par Pegasus si je suis un Québécois ordinaire?

Non, presque certainement pas. Pegasus coûte des centaines de milliers de dollars par cible et est vendu par NSO Group uniquement à des gouvernements. Les cibles documentées sont des journalistes, dissidents politiques, avocats de défense des droits humains, activistes. Un citoyen ordinaire n'en vaut pas le coût. Le stalkerware grand public (AirDroid, FlexiSpy) est une menace beaucoup plus réaliste.

Le mode Lockdown d'iOS protège contre Pegasus?

Largement oui. Citizen Lab et Apple ont documenté plusieurs cas où Lockdown Mode aurait bloqué les exploits zero-click utilisés par Pegasus. Lockdown désactive des surfaces d'attaque : prévisualisation des pièces jointes iMessage, services WebKit complexes, appels FaceTime d'inconnus. Pour un journaliste ou avocat, c'est recommandé.

Comment savoir si mon iPhone est infecté par un spyware?

La détection est difficile sans outils. Indicateurs indirects : batterie qui se vide anormalement, iPhone chaud au repos, consommation de données élevée sans raison. Détection sérieuse via MVT (Mobile Verification Toolkit) d'Amnesty Tech, ou iMazing (section Spyware Detection). Les deux analysent les logs et sauvegardes iOS pour trouver des traces.

Des Canadiens ont-ils été victimes de Pegasus?

Oui. Citizen Lab (University of Toronto) a documenté plusieurs cas canadiens, incluant des proches de Jamal Khashoggi résidant au Canada, et des citoyens canadiens critiques de gouvernements étrangers. Le Canada lui-même n'est pas confirmé comme client de NSO Group, mais la GRC a admis utiliser d'autres spywares commerciaux.

Que faire si je pense être ciblé par un spyware étatique?

Contactez Citizen Lab (citizenlab.ca) ou Access Now Helpline. Ne discutez pas du soupçon sur l'appareil suspect. Utilisez un appareil neuf pour les communications sensibles. Activez Lockdown Mode. Préservez les preuves — ne factory reset pas avant analyse forensique si possible.

Appareils & Malwares

iPhone et spyware Pegasus : vrais risques au Québec

20 janvier 2026 Mis à jour janvier 2026 12 min de lecture 0

Sarah est avocate à Montréal. Elle défend des demandeurs d’asile d’un pays du Golfe. Un matin de mars 2025, son iPhone 14 Pro est anormalement chaud. La batterie est tombée à 40 % en une nuit sans utilisation. Ses appels WhatsApp avec une cliente en détention semblent avoir des échos étranges.

Sarah n’est pas paranoïaque. Elle a entendu parler de Pegasus. Elle contacte Citizen Lab à Toronto. Deux semaines plus tard, le verdict : son iPhone contenait des traces cohérentes avec une infection Pegasus datée de février, probablement via un message iMessage qu’elle n’avait jamais ouvert.

Sarah a été ciblée non pas pour ce qu’elle est, mais pour qui elle représente.

Ce type de cas reste rare. Mais il existe. Et il existe plus souvent qu’on ne le pense.

D’abord, démystifions

La majorité des Québécois ne sera jamais ciblée par Pegasus. Ce n’est pas une menace pour la famille Tremblay de Trois-Rivières ou pour un boulanger de Shawinigan.

Pegasus est vendu par NSO Group, une entreprise israélienne, à des gouvernements exclusivement. Le prix estimé par The Citizen Lab et Amnesty Tech : entre 500 000 $ et 2 millions $ US pour une licence de 10 cibles. Aucun gouvernement ne va dépenser 50 000 $ US pour espionner quelqu’un qui n’a pas d’intérêt stratégique.

Les cibles documentées depuis 2016 par Citizen Lab (Université de Toronto, Munk School of Global Affairs) :

Journalistes d’investigation
Avocats de défense des droits humains
Dissidents politiques en exil
Activistes environnementaux visibles
Membres d’ONG critiques
Proches de personnes assassinées par des régimes autoritaires

Si vous êtes dans un de ces cercles, oui, vous êtes une cible potentielle. Sinon, votre vraie menace est ailleurs — stalkerware grand public, vol physique, phishing, arnaques Interac.

Mais comprendre Pegasus, c’est comprendre ce qu’un iPhone peut réellement cacher comme vulnérabilités. Et ça, c’est utile pour tout le monde.

Pegasus — comment ça fonctionne vraiment

Pegasus n’est pas un virus qu’on « attrape » par maladresse. C’est un outil d’État, déployé via des exploits zero-click — c’est-à-dire qui ne demandent aucune action de l’utilisateur.

Le schéma classique (documenté par Amnesty Tech et Citizen Lab) :

L’opérateur gouvernemental envoie un message spécialement conçu (iMessage, WhatsApp, SMS)
L’iPhone reçoit le message en arrière-plan
Une vulnérabilité dans le traitement d’images, de fichiers PDF ou dans le moteur iMessage est exploitée
Pegasus s’installe sans aucun clic, sans aucune notification
Le message original est souvent supprimé automatiquement

Une fois installé, Pegasus a accès complet :

Microphone, caméra activables à volonté
Lecture de tous les messages (iMessage, WhatsApp, Signal avant chiffrement — Pegasus lit l’écran)
Localisation GPS en temps réel
Contacts, courriels, photos
Capture d’écran périodique
Exfiltration vers les serveurs de l’opérateur gouvernemental

Tout ça sans que l’utilisateur ne remarque quoi que ce soit — sauf parfois une chaleur anormale ou une batterie qui fond.

Les exploits connus publiquement :

FORCEDENTRY (CVE-2021-30860) : exploit iMessage via fichier PDF déguisé en GIF. Corrigé iOS 14.8. Utilisé massivement 2020-2021.
BLASTPASS (CVE-2023-41064 + CVE-2023-41061) : exploit iMessage via fichier WebP. Corrigé iOS 16.6.1 en septembre 2023. Découvert par Citizen Lab sur l’iPhone d’un employé d’une ONG de Washington.
Plusieurs zero-days toujours actifs sur iOS 17 et 18 selon Google Project Zero et TAG (Threat Analysis Group) — non publiés car non corrigés au moment des rapports.

NSO rachète ou développe ces exploits. Le budget mondial du marché des zero-days iOS : estimé à plus de 100 millions $ US/an selon SentinelOne (2024).

Triangulation — l’attaque contre Kaspersky elle-même

En juin 2023, Kaspersky (l’éditeur russe d’antivirus) annonce avoir découvert une opération de spyware qui infectait les iPhone de ses propres employés cadres. Nom donné : Operation Triangulation.

La méthode est ahurissante de sophistication :

Message iMessage invisible contenant une pièce jointe malicieuse
Chaîne de quatre exploits zero-day iOS, dont un exploit hardware touchant une fonctionnalité non documentée de la puce Apple
Installation d’un implant nommé TriangleDB
Exfiltration vers des serveurs C2 inconnus

Kaspersky publie l’analyse complète en décembre 2023 lors de la conférence Chaos Communication Congress. La présentation est disponible sur YouTube, titrée « Operation Triangulation: What You Get When Attack iPhones of Researchers ». Le niveau technique est stratosphérique.

Qui est derrière? Personne ne le sait publiquement. Kaspersky, basée en Russie, a accusé à demi-mot la NSA — sans preuve définitive. Les États-Unis n’ont ni confirmé ni démenti. Le gouvernement russe a affirmé que c’était une opération américaine.

Ce que Triangulation démontre : même la NSA (si c’est elle) et même des chercheurs en sécurité haut niveau peuvent être infectés par des exploits iPhone. Un iPhone n’est pas un coffre-fort absolu. C’est un équipement électronique complexe avec des bugs exploitables.

Les autres spywares commerciaux à connaître

Predator (Intellexa, Grèce/Macédoine du Nord). Équivalent commercial de Pegasus. Ciblé journalistes grecs, politiciens européens (scandale « Predatorgate » 2022-2023). Citizen Lab a documenté plus de 50 victimes confirmées.

Reign (QuaDream, Israël, dissoute 2023). Utilisée contre au moins cinq victimes à Toronto selon Citizen Lab, avant que l’entreprise ne ferme.

Graphite (Paragon Solutions, Israël). Nouvelle génération 2024-2025, vendue aux États-Unis et à des alliés de l’OTAN. Selon Meta, Graphite aurait été utilisée contre environ 90 journalistes et activistes via WhatsApp en janvier 2025.

Candiru / Sourgum / DevilsTongue. Vendue par Candiru (Israël, sanctionnée par les USA). Visait principalement Windows mais versions mobiles existantes.

Tous ces outils coûtent entre 50 000 $ et plusieurs millions par cible. Tous sont vendus à des gouvernements. Tous ont été utilisés contre des journalistes, avocats, activistes, y compris en démocraties occidentales.

Citizen Lab — la raison pour laquelle on sait tout ça

Citizen Lab est un laboratoire de recherche à l’Université de Toronto. Fondé en 2001 par Ron Deibert. C’est, sans exagération, le principal chien de garde mondial contre les spywares étatiques.

Ils ont :

Identifié et documenté l’infection de Jamal Khashoggi par Pegasus avant son assassinat
Publié les rapports qui ont mené à l’inscription de NSO Group sur la liste noire américaine en 2021
Documenté l’usage de Pegasus contre des avocats mexicains, des journalistes salvadoriens, des dissidents saoudiens, des militants catalans
Aidé directement des centaines de cibles à nettoyer leurs appareils

Le Canada a ici un rôle mondial disproportionné. Citizen Lab est financé par le gouvernement canadien, des fondations privées (Ford, Open Society), et publie en libre accès. Leur blog (citizenlab.ca) est la référence mondiale sur le spyware étatique.

Si vous êtes un journaliste québécois, un avocat en droit de l’immigration, un activiste visible, Citizen Lab peut vous aider gratuitement à analyser votre iPhone. Ils ne publient jamais le nom des cibles sans consentement.

Lockdown Mode — la vraie défense d’Apple

Apple a introduit Lockdown Mode avec iOS 16 en 2022, après l’escalade des attaques Pegasus.

C’est un mode de restriction extrême qui désactive les surfaces d’attaque les plus exploitées :

Pièces jointes iMessage (sauf images) bloquées
Prévisualisations de liens désactivées
JIT JavaScript dans Safari désactivé (performance réduite)
Appels FaceTime d’inconnus refusés
Connexions filaires bloquées quand iPhone verrouillé
Profils de configuration bloqués

Citizen Lab a documenté au moins deux cas où Lockdown Mode aurait bloqué une infection Pegasus en cours. Une analyse formelle par Apple en 2023 suggérait que Lockdown Mode bloque l’écrasante majorité des vecteurs zero-click connus.

Qui devrait activer Lockdown Mode :

Journalistes (surtout correspondants de zones de conflit ou couvrant régimes autoritaires)
Avocats en droit international, droits humains, immigration
Activistes politiques
Membres d’ONG
Chercheurs académiques sur sujets sensibles

Qui ne devrait pas : à peu près tout le monde d’autre. Lockdown casse beaucoup de fonctionnalités quotidiennes. Pour un usage normal, c’est excessif.

Activation : Réglages > Confidentialité et sécurité > Mode Isolement (Lockdown) > Activer.

Comment vérifier un iPhone — outils réels

Option 1 : iMazing (payant, 49,99 $ CAD/année)

iMazing, logiciel tchèque, a intégré un module « Spyware Detection » basé sur les indicateurs de compromission publiés par Amnesty Tech. Branchez l’iPhone, lancez l’analyse, iMazing examine les logs système et les sauvegardes pour trouver des traces de Pegasus.

Limite : détecte uniquement ce qui est connu publiquement. Un zero-day actif non documenté passera inaperçu.

Option 2 : MVT — Mobile Verification Toolkit (gratuit, ligne de commande)

Développé par Amnesty International Security Lab. Outil officiel utilisé par les chercheurs. Installation via Python (pip install mvt). Analyse soit une sauvegarde iTunes soit un fichier sysdiagnose.

Usage :

mvt-ios check-backup --iocs amnesty-iocs.stix2 /chemin/vers/backup

Produit un rapport détaillé. Technique, mais c’est le standard. Amnesty publie régulièrement des fichiers d’indicateurs à jour.

Option 3 : Analyse forensique professionnelle

Pour un cas sérieux, un forensic iOS coûte entre 1 500 $ et 5 000 $ selon la complexité. Le cabinet extrait un sysdiagnose, analyse la chaîne de logs iOS (DataUsage.sqlite, netusage.sqlite, logs de processus), corrèle avec les IOCs connus.

Sequr ne fait pas de forensique iOS étatique — pour ça, direction Citizen Lab directement, ou Access Now.

Les signaux indirects d’une infection

La détection de spyware haut niveau est difficile. Mais quelques indicateurs indirects existent :

Batterie qui se vide anormalement : un spyware actif transmet des données, utilise CPU et réseau
Température anormale au repos : l’iPhone chauffe quand le téléphone ne devrait rien faire
Consommation cellulaire inexpliquée : Réglages > Cellulaire, regardez les apps système qui consomment bizarrement (particulièrement mediaserverd, locationd)
iPhone qui redémarre seul : peut indiquer un exploit kernel instable
Messages iMessage qui « disparaissent » après réception (typique des exploits BLASTPASS, FORCEDENTRY)
Pop-ups étranges demandant d’installer un profil de configuration (spyware commercial de niveau inférieur)

Aucun de ces signes n’est preuve. Mais la combinaison de plusieurs chez un journaliste ou avocat mérite une vérification sérieuse.

La vraie menace québécoise : le stalkerware grand public

Pegasus est spectaculaire mais rare. Ce qui frappe quotidiennement au Québec, c’est le stalkerware — logiciels d’espionnage grand public installés physiquement sur un téléphone par un ex-conjoint, parent contrôlant, employeur abusif.

Noms connus : mSpy, FlexiSpy, Cocospy, Spyzie, HoverWatch, XNSpy. Vendus en ligne pour 50 $ à 500 $/mois. Installation nécessite un accès physique 5-15 minutes au téléphone déverrouillé.

Fonctionnalités : lecture SMS, WhatsApp, courriels, localisation GPS, historique d’appels, parfois microphone.

Sur iPhone, le stalkerware nécessite :

Soit les identifiants iCloud (pas d’installation directe — lit les sauvegardes cloud)
Soit un jailbreak (rare depuis iOS 15)
Soit un profil de configuration MDM abusif

La Fédération des maisons d’hébergement du Québec a documenté en 2024 que plus de 40 % des femmes en refuge avaient un conjoint qui connaissait leur localisation — majoritairement via Apple « Find My », comptes iCloud partagés, ou stalkerware.

Signes de stalkerware iPhone :

Profil de configuration installé (Réglages > Général > VPN et gestion de l’appareil)
Partage « Localiser » actif avec une personne inconnue (Réglages > [Votre nom] > Localiser)
iCloud Keychain synchronisé avec un compte que vous n’avez pas créé
Famille iCloud incluant quelqu’un que vous n’avez pas ajouté
Compte courriel « Exchange » inconnu dans Mail

Solution rapide :

Retirez tout profil inconnu
Vérifiez le partage Localiser
Changez mot de passe Apple ID (depuis un autre appareil de préférence)
Activez 2FA sur Apple ID
Si doute sérieux : factory reset et recommencez avec un nouveau Apple ID

Si vous êtes dans une situation de violence conjugale, contactez SOS violence conjugale au 1-800-363-9010 avant de toucher au téléphone — ils ont des protocoles pour préserver la preuve sans alerter l’agresseur.

Ce qu’un citoyen québécois ordinaire devrait faire

Vous n’êtes pas journaliste dissident. Vous n’êtes pas avocat en droits humains. Vous êtes Québécois moyen. Voici votre réalité :

Gardez iOS à jour. Toujours. Les patches bouchent les vecteurs Pegasus connus. iOS 18.x.x de cette semaine est objectivement plus sûr que celui de la semaine passée.
Activez le 2FA sur Apple ID, Google, courriel principal.
Méfiez-vous des profils de configuration qu’on vous demande d’installer. Toute demande hors d’un cadre professionnel MDM légitime = refusez.
Ne cliquez pas sur des liens SMS venant de numéros inconnus (smishing, voir notre article sur les arnaques Hydro-Québec/ARC/SAAQ).
Vérifiez périodiquement vos appareils connectés, sessions actives, partages Localiser.
Si vous entrez dans une catégorie à risque (journalisme, droits humains, défense d’immigrants, activisme visible), activez Lockdown Mode et contactez Citizen Lab.

Le téléphone n’est jamais « propre » à 100 %

Un iPhone en 2026 reste le téléphone consumer le plus sécurisé du marché. Ce n’est pas un mythe — les équivalents Android haut de gamme ne sont pas mieux, et la plupart sont pires.

Mais « le plus sécurisé » ne veut pas dire « invulnérable ». Pegasus, Predator, Triangulation existent. Ils coûtent cher. Ils visent peu de monde. Et ils fonctionnent.

Pour la majorité des Québécois, la menace réelle n’est pas un gouvernement étranger. C’est un ex qui connaît votre mot de passe iCloud. C’est un faux SMS Interac. C’est une extension Safari installée par curiosité.

Commencez par là. Si vous êtes dans la catégorie qui mérite Pegasus, vous le saurez — et vous contacterez Citizen Lab.

Un doute? Un iPhone bizarre?

Si votre iPhone se comporte étrangement, si vous suspectez qu’un ex a accès à vos messages, si vous êtes dans une catégorie professionnelle sensible et voulez un audit sérieux :

Sequr.ca fait des audits de sécurité iPhone à distance. On vérifie les profils, les partages Localiser, les sessions iCloud, les apps avec permissions anormales. On n’est pas Citizen Lab — on ne cherche pas Pegasus. Mais pour le stalkerware, les fuites iCloud, et les configurations douteuses, c’est ce qu’il faut.

Votre iPhone sait beaucoup de choses sur vous. Assurez-vous que vous êtes le seul à le savoir.

Khalid Mokrini

Cyber Security Specialist

Fondateur d'Informatique Ste-Foy (depuis 2014) et de Sequr.ca. Certifié en cybersécurité des réseaux informatiques par l'École Polytechnique de Montréal. Plus de 1 000 clients servis au Québec.

540+ avis (4.7/5)Québec, Canada

Consultation personnalisée

Votre appareil est-il vraiment protégé ?

Un expert certifié analyse votre situation et vous propose un plan d'action concret, adapté à votre appareil et vos habitudes.

Demander une consultation

100 % à distance — Québec