Article initial du 23 octobre 2025 :
Pegasus de NSO Group et Predator d'Intellexa, développé par Cytrox, sont des logiciels espions mercenaires utilisés par des acteurs étatiques pour cibler iOS et Android et offrir un accès étendu aux données et capteurs d’un smartphone, notamment messages, microphone, caméra et localisation.
Leur compromission s’appuie notamment sur des vulnérabilités zero‑click ou des liens piégés, ce qui complique fortement la détection et l’attribution technique des attaques. Ces outils de flicage ont été déployés contre des journalistes, militants et responsables politiques.
Depuis des années, le dossier Sysdiagnose contenait des informations précieuses. Le fichier nommé shutdown.log qui s'y situe conserve des traces laissées par Pegasus et par Predator. Même lorsque Pegasus tentait de l'effacer, des indices subsistaient et des logs anormalement propres constituaient justement un signal d’alerte. Au fil du temps, ces spywares ont utilisé des entrées spécifiques, notamment en utilisant des noms de processus système légitimes, rendant plus difficile la détection des infections.
Des travaux récents confirment qu'Apple a modifié dans iOS 26 la gestion du fichier de journalisation de l’arrêt du système, qui est shutdown.log. Celui-ci serait réécrit et écrasé à chaque redémarrage au lieu d’être complété, ce qui supprime des indicateurs de compromission utiles aux enquêtes.
La réécriture du fichier à chaque démarrage réduit les possibilités de détection d'infection. Pour les victimes potentielles, l’impact est majeur au moment où les campagnes d'attaque se multiplient.
Si vous êtes une personne exposée avec un haut niveau de menace et que vous êtes encore sur iOS 18, générez immédiatement un Sysdiagnose et sauvegardez‑le hors de l’appareil. Ne différez toutefois pas indéfiniment l’application des correctifs de sécurité et installez iOS 18.7.1.
Envisagez enfin de ne pas effectuer la mise à jour vers iOS 26 tant qu'Apple n'aura pas résolu ce problème en publiant un correctif empêchant l'écrasement du fichier shutdown.log au démarrage.
L'usage d'un tel spyware est susceptible de relever notamment :
- d'une collecte frauduleuse de données personnelles, réprimée à l'article 226-18 du Code pénal,
- d'une atteinte à l’intimité de la vie privée par captation et transmission de paroles, d’images, mais aussi de la localisation, réprimée par l'article 226-1 du Code pénal,
- d'une violation du secret des correspondances, réprimée par l'article 226-15 du Code pénal,
- d'un accès ou maintien frauduleux dans un système de traitement automatisé de données (STAD), réprimé par l'article 323-1 du Code pénal.
Si vous êtes une personne exposée, je reste à votre disposition pour plus d'informations en matière de prévention ou d'analyse.
MàJ de l'article (27 février 2026) :
Apple a rétabli à partir d’iOS 26.2 un comportement de journalisation qui évite l’écrasement du fichier shutdown.log et permet à nouveau de conserver des artefacts utiles à la détection forensique.
Attention, cette correction ne permet pas de récupérer les fichiers shutdown.log déjà perdus sur les appareils qui avaient redémarré sous une version antérieure d’iOS 26 où le fichier était écrasé.
En conséquence, je conseille désormais de mettre à jour vers iOS 26.2 (ou version ultérieure, iOS étant passé en version 26.3 lors de l'actualisation de cet article) pour bénéficier à la fois du rétablissement de la gestion du fichier de journalisation de l’arrêt du système, et des correctifs de sécurité associés.
Cela devenait par ailleurs intenable en l'absence de correctifs sous iOS 18 depuis décembre pour les appareils éligibles à iOS 26.
L’activation du mode isolement, indispensable, réduit également la surface d’attaque au prix de restrictions d’usage.
Me Jérémy ROCHE
Avocat au barreau de BEZIERS
https://jeremyroche-avocat.fr
Sources :
1) Key IOCs for Pegasus and Predator Spyware Cleaned With iOS 26 Update (iVerify, Matthias Frielingsdorf, 21 octobre 2025) : https://iverify.io/blog/key-iocs-for-pegasus-and-predator-spyware-cleaned-with-ios-26-update
2) Apple restores spyware detection artifact in iOS 26.2 after backlash (CyberInsider, 19 février 2026) : https://cyberinsider.com/apple-restores-spyware-detection-artifact-in-ios-26-2-after-backlash/
3) With iOS 26.2 Release, Apple Reverses Course on Shutdown.log (iVerify, Matthias Frielingsdorf, 18 février 2026) : https://iverify.io/blog/with-ios-26.2-release-apple-reverses-course-on-shutdown.log
Crédit photo : Unsplash - Miguel A Amutio
Pas de contribution, soyez le premier