Android Intrusion Logging : Google traque les spywares ciblés

Ce qui s'est passé

Google a officialisé le 12 mai 2026, lors de l'Android Show I/O Edition, l'arrivée d'Intrusion Logging, une fonctionnalité de journalisation forensique destinée aux utilisateurs Android exposés à des attaques de surveillance ciblée. Le déploiement débute immédiatement sur tous les appareils tournant sous Android 16 mise à jour de décembre 2025 ou plus récent, avec une bascule rapide attendue vers Android 17 dans les semaines qui viennent. La fonction s'active depuis le mode Advanced Protection — l'enclave de paramètres sécurité maximale lancée en 2025 — et reste désactivée par défaut pour l'écrasante majorité des utilisateurs.

Le mécanisme est documenté avec précision. Une fois activée, la fonction commence à enregistrer dans un journal chiffré bout en bout une liste d'événements forensiques choisis : déverrouillages successifs du téléphone, installations et désinstallations d'applications, connexions Bluetooth et USB, activations d'Android Debug Bridge (ADB), connexions à des serveurs distants observées par le système, et — point critique — toute tentative de suppression de ces journaux par un acteur extérieur. Le journal est conservé jusqu'à douze mois sur le téléphone, dans une zone protégée par les Keystore matériels Titan M2 ou équivalents, et déchiffrable uniquement avec le code de verrouillage de l'utilisateur.

Le partenariat avec Amnesty International Security Lab et Reporters sans frontières est explicite et inhabituel. Selon les notes techniques publiées par les deux ONG, les chercheurs ont participé à la définition des événements à logger, en s'appuyant sur les forensiques accumulées depuis 2016 autour de Pegasus, Predator, Reign et autres mercenaires cyber. Les chercheurs d'Amnesty disposeront, sur consentement de la victime, d'un outil officiel pour extraire ces logs et reconstituer la chaîne d'infection, là où il fallait jusqu'à présent recourir à des dumps mémoire risqués ou à du reverse manuel de baseband.

La filière est sensible. Selon le CitizenLab et Amnesty, plus de 130 cas d'utilisation abusive de spywares commerciaux ont été documentés depuis 2020 : journalistes mexicains, dissidents saoudiens, parlementaires européens, magistrats africains. NSO Group, Intellexa et Paragon dominent encore le marché, mais l'écosystème s'élargit. L'enjeu : ces outils s'installent typiquement sans clic via des chaînes 0-click sur iMessage, WhatsApp ou MMS Android, et effacent leurs traces une fois exécutés. Intrusion Logging vise précisément ce point : créer un capteur que l'attaquant ne peut pas neutraliser silencieusement, puisque toute tentative de suppression est elle-même journalisée.

Le périmètre des cibles est volontairement étroit. Google insiste sur le fait que la fonctionnalité s'adresse aux défenseurs des droits humains, activistes, journalistes d'investigation, dissidents politiques et avocats. La latence ajoutée est minimale — Google annonce moins de 1 % d'impact batterie — mais la consommation de stockage progresse rapidement, jusqu'à 250 Mo après douze mois selon Amnesty. Sur les terminaux haut de gamme Pixel et Samsung S série, l'impact est négligeable ; sur les appareils entrée de gamme servant souvent aux travailleurs humanitaires de terrain, le compromis demande arbitrage.

Au-delà des spywares, Intrusion Logging fournit également une trace contre les forensiques policières abusives. Selon plusieurs ONG, Cellebrite UFED et Magnet Graykey, les deux outils dominants côté forces de l'ordre, exploitent régulièrement des branchements ADB ou USB-PD pour extraire le contenu d'un téléphone confisqué. Le journal Intrusion Logging conservera la trace de ces connexions, permettant à un avocat de défense de démontrer, devant un tribunal, une extraction réalisée hors mandat ou hors procédure. Reporters sans frontières souligne le parallèle avec le projet TraceTogether des forensiques iOS — mais cette fois côté Android, et porté directement par le fabricant de l'OS.

Côté Apple, la riposte n'a pas tardé. Selon Bloomberg, Cupertino prépare un équivalent baptisé « Forensic Audit Trail » pour iOS 27, attendu à la WWDC du 9 juin. Le calendrier choisi par Google n'est pas anodin : sortir le premier permet à Android de capitaliser sur l'effet d'annonce et de tester la fonction grandeur nature avant le concurrent. La compétition entre les deux écosystèmes s'organise désormais aussi sur le terrain de la résistance à la surveillance d'État, là où elle se cantonnait il y a deux ans aux performances photo ou à l'autonomie batterie.

Reste un point d'inquiétude soulevé par certains chercheurs. Selon SekurLab, l'activation d'Intrusion Logging pourrait elle-même servir de signal d'identification : un opérateur télécom complaisant pourrait théoriquement détecter, via une analyse comportementale fine du trafic, les utilisateurs ayant activé le mode Advanced Protection — et donc les marquer comme cibles à fort intérêt. Google répond que les opérations de journalisation n'émettent aucun trafic réseau supplémentaire et que la fonctionnalité ne modifie aucune empreinte côté serveurs Google. Les chercheurs indépendants n'ont pas encore eu le temps de vérifier cette affirmation.

Pourquoi c'est important

Intrusion Logging marque un tournant doctrinal. Pour la première fois, un fabricant de plateforme grand public conçoit une fonctionnalité de sécurité dont la cible n'est pas l'utilisateur lambda mais une population identifiée à risque : défenseurs des droits, journalistes, dissidents. Le modèle d'investissement en sécurité produit s'élargit. Là où les efforts portaient sur la protection contre la fraude bancaire ou les fuites d'identifiants — bénéfice direct sur la NPS et le churn — Google accepte d'allouer des ressources à un segment marginal, mais hautement médiatisé. La logique relève du soft power et de la responsabilité plateforme face aux scandales Pegasus.

Pour les RSSI d'entreprises traitant avec des contractants en zones sensibles — ONG, presse internationale, cabinets d'audit géopolitique, juristes droits humains — la fonction ouvre un nouveau levier de politique BYOD ou COBO. Imposer Advanced Protection et Intrusion Logging sur les terminaux des employés exposés devient une mesure tangible, vérifiable via MDM, qui s'intègre naturellement dans un programme insider risk. Microsoft Intune et Google Workspace Endpoint Verification supportent déjà la lecture du statut Advanced Protection.

Sur le plan juridique, la fonctionnalité reconfigure la chaîne de preuve. Les logs chiffrés générés par Intrusion Logging pourraient devenir des éléments de preuve admissibles dans les procédures civiles ou pénales liées à la surveillance illégale. Plusieurs cabinets spécialisés en libertés numériques travaillent déjà à valider l'admissibilité de ces journaux devant les juridictions européennes et nord-américaines. Le cas inverse — un État utilisant le contenu d'un journal pour traquer un dissident — reste théoriquement bloqué par le chiffrement bout en bout dépendant du code utilisateur, mais ce verrou suppose que le code lui-même ne soit pas extorqué sous contrainte.

Enfin, la dimension géopolitique mérite d'être nommée. Plusieurs États — Émirats arabes unis, Arabie saoudite, Inde, Mexique — figurent parmi les clients connus des éditeurs de spywares commerciaux. La fonctionnalité Google complique sensiblement leur travail, mais elle pousse aussi l'industrie du mercenaire cyber à innover : exploitation de vulnérabilités dans le module Intrusion Logging lui-même, attaques sur le hardware Keystore, recours à des kits d'extraction off-device. Le jeu du chat et de la souris se durcit, mais l'asymétrie victime-attaquant se réduit pour la première fois depuis des années.

Ce qu'il faut retenir

• Intrusion Logging journalise unlock, installation d'apps, ADB, USB-PD et tentatives d'effacement sur 12 mois, chiffré bout en bout avec le code utilisateur.
• La fonction est opt-in via Advanced Protection sur Android 16 décembre 2025+, ciblant journalistes, activistes et défenseurs des droits.
• Apple prépare un équivalent « Forensic Audit Trail » pour iOS 27 — la surveillance ciblée devient un nouveau front de la concurrence smartphone.