Depuis plusieurs mois, des rapports de cybersécurité révèlent l’existence d’un nouvel outil de surveillance mobile utilisé par les autorités chinoises. Baptisé Massistant, ce logiciel de forensique mobile développé par la société Xiamen Meiya Pico (rebaptisée SDIC Intelligence Xiamen Information fin 2023) permet aux forces de l’ordre d’extraire massivement des données depuis des téléphones Android confisqués. Derrière son apparence d’outil d’investigation classique se cache en réalité une technologie intrusive, capable de contourner les sécurités du système et de fouiller jusque dans les recoins les plus sensibles des terminaux.Massistant n’est pas une application comme les autres. Il ne s’agit pas d’un malware diffusé via des campagnes d’hameçonnage, mais d’un outil de forensique ciblé, pensé pour être utilisé uniquement dans des situations où les autorités ont un accès physique à un appareil. En pratique, le logiciel est installé par la police sur des téléphones déverrouillés lors de contrôles de sécurité, d’interrogatoires ou aux frontières. Couplé à un logiciel de bureau, il permet ensuite une extraction rapide et massive des données de l’utilisateur.
Selon les analyses de Lookout, Massistant est capable de récupérer une quantité impressionnante d’informations : les messages SMS, les contacts, les photos et vidéos, l’historique de localisation, mais aussi les données issues d’applications de messagerie réputées sécurisées comme Signal, Telegram ou Letstalk. Pour parvenir à ses fins, l’outil exploite notamment les services d’accessibilité d’Android, détournés pour cliquer automatiquement sur les fenêtres de confirmation et contourner les protections du système.
Envoyé par Lookout
Les chercheurs du Lookout Threat Lab ont découvert une application d'investigation mobile appelée Massistant, utilisée par les forces de l'ordre en Chine pour collecter des informations détaillées à partir d'appareils mobiles. Cette application serait le successeur d'un outil d'investigation précédemment signalé, appelé « MFSocket », utilisé par la police nationale et rapporté par divers médias en 2019. Ces échantillons nécessitent un accès physique à l'appareil pour être installés et n'ont pas été distribués via le Google Play Store.
Les outils d'analyse sont utilisés par les forces de l'ordre pour collecter des données sensibles à partir d'un appareil confisqué par les douaniers, aux postes de contrôle frontaliers locaux ou provinciaux ou lors d'un contrôle par les forces de l'ordre.
Ces outils peuvent présenter un risque pour les entreprises dont les dirigeants et les employés voyagent à l'étranger, en particulier dans les pays où les politiques de surveillance des frontières permettent de confisquer les appareils mobiles pendant une courte période à l'entrée sur le territoire. En 2024, le ministère de la Sécurité d'État a introduit une nouvelle législation qui permettrait aux forces de l'ordre de collecter et d'analyser des appareils sans mandat. Des rapports anecdotiques font état de cas où les forces de l'ordre chinoises ont collecté et analysé les appareils de voyageurs d'affaires. Dans certains cas, des chercheurs ont découvert des modules de surveillance persistants et headless [ndlr. sans sa couche de présentation] sur des appareils confisqués puis restitués par les forces de l'ordre, de sorte que l'activité des appareils mobiles peut continuer à être surveillée même après la restitution de l'appareil.
Les outils d'analyse sont utilisés par les forces de l'ordre pour collecter des données sensibles à partir d'un appareil confisqué par les douaniers, aux postes de contrôle frontaliers locaux ou provinciaux ou lors d'un contrôle par les forces de l'ordre.
Ces outils peuvent présenter un risque pour les entreprises dont les dirigeants et les employés voyagent à l'étranger, en particulier dans les pays où les politiques de surveillance des frontières permettent de confisquer les appareils mobiles pendant une courte période à l'entrée sur le territoire. En 2024, le ministère de la Sécurité d'État a introduit une nouvelle législation qui permettrait aux forces de l'ordre de collecter et d'analyser des appareils sans mandat. Des rapports anecdotiques font état de cas où les forces de l'ordre chinoises ont collecté et analysé les appareils de voyageurs d'affaires. Dans certains cas, des chercheurs ont découvert des modules de surveillance persistants et headless [ndlr. sans sa couche de présentation] sur des appareils confisqués puis restitués par les forces de l'ordre, de sorte que l'activité des appareils mobiles peut continuer à être surveillée même après la restitution de l'appareil.
Un outil légalement soutenu par le cadre chinois
Si Massistant inquiète, ce n’est pas seulement pour sa sophistication technique, mais aussi pour le cadre juridique qui l’entoure. Depuis 2024, la législation chinoise a été modifiée pour élargir considérablement les pouvoirs des forces de sécurité nationale. Les policiers et agents des services de renseignement ont désormais la possibilité de fouiller des appareils électroniques sans mandat judiciaire ni enquête en cours. Cette extension des prérogatives légales rend l’utilisation d’outils comme Massistant non seulement possible, mais également institutionnalisée.
Dans ce contexte, les voyageurs étrangers, les journalistes, les activistes ou même des professionnels en déplacement peuvent se retrouver exposés. Lors d’un contrôle routinier, à un aéroport ou au poste-frontière, il suffit qu’un appareil soit temporairement confisqué pour que Massistant y soit installé et commence son travail de siphonnage. Plusieurs témoignages circulant sur des forums chinois font état d’installations réalisées dans ce genre de situations, vécues comme inévitables par les personnes concernées.
La persistance d’une surveillance discrète
Une autre caractéristique préoccupante de Massistant réside dans sa capacité de persistance. Si, en apparence, l’outil peut sembler avoir une utilité ponctuelle — extraire des données lors d’une inspection —, certains modules peuvent rester installés sur l’appareil sous une forme invisible, dite « headless ». Dans ce cas, l’utilisateur récupère bien son téléphone, mais celui-ci continue d’envoyer des informations à distance, permettant un suivi prolongé à l’insu de son propriétaire.
Cette possibilité transforme un contrôle ponctuel en un véritable dispositif de surveillance continue. Bien que des artefacts techniques puissent parfois trahir la présence de Massistant, par exemple via Android Debug Bridge ou certaines traces laissées par l’application, la majorité des utilisateurs n’a ni les compétences ni les moyens pour les détecter.
Une sophistication technique digne d’un malware étatique
Sur le plan technique, Massistant utilise des mécanismes habituellement réservés aux logiciels espions développés par des acteurs étatiques. L’application communique avec son pendant de bureau via une connexion locale, souvent en utilisant un port forwarding ADB (Android Debug Bridge), ce qui permet un transfert massif et rapide des données extraites. En d’autres termes, une fois installé, l’outil transforme le téléphone en une source de données entièrement ouverte, sans que l’utilisateur n’en ait conscience.
La différence avec les malwares classiques est qu’ici, l’installation ne repose pas sur la tromperie ou le phishing, mais sur une situation de contrainte : l’appareil est physiquement saisi, déverrouillé par obligation, puis instrumentalisé par les autorités. Cette méthode donne à Massistant une efficacité redoutable, puisque l’une des plus grandes barrières de sécurité — le verrouillage du téléphone — est contournée dès le départ par le contexte même de son usage.
Un défi pour les voyageurs et les professionnels IT
Pour les professionnels de l’informatique, notamment ceux qui manipulent des données sensibles, la révélation de l’existence de Massistant soulève une question majeure : comment protéger ses informations lors de déplacements dans des pays où la confidentialité numérique est menacée ?
Certaines recommandations circulent déjà dans la communauté de cybersécurité. L’usage d’un appareil « propre », dédié uniquement au voyage, figure parmi les conseils les plus récurrents. Ce type de téléphone, dépourvu de données personnelles ou professionnelles critiques, limite les risques en cas de confiscation. D’autres suggèrent d’activer les fonctions de sécurité avancées comme le mode de protection renforcée sur Android ou le mode Lockdown sur iOS, bien que l’efficacité réelle face à Massistant reste incertaine.
Enfin, après restitution d’un appareil ayant été confisqué, il peut être judicieux de réaliser une vérification technique approfondie, par exemple à l’aide d’outils comme Android Debug Bridge, pour s’assurer qu’aucune application indésirable ne demeure installée en arrière-plan.
La Chine, un cas isolé ou une tendance mondiale ?
À première vue, Massistant pourrait sembler une exception chinoise. Mais lorsqu’on regarde au-delà, la réalité est plus nuancée : de nombreux pays démocratiques utilisent également des outils de forensique mobile, même si le cadre légal est différent.
En France
Les forces de l’ordre françaises, notamment dans le cadre d’enquêtes judiciaires, utilisent depuis plusieurs années des solutions comme celles de Cellebrite (société israélienne) ou de MSAB (société suédoise). Ces outils permettent d’extraire les données d’un téléphone lorsque celui-ci est saisi...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.