Je suis peut-être en retard sur ce sujet.
Mais j’apprends à l’instant que ça existe, et ça m’a surpris, peut-être par naïveté. Je me doute bien qu’il y a des SMS de gestion un peu comme les ICMP Echo-request.
C’est quoi un SMS de Type 0?
Un SMS ordinaire arrive sur votre téléphone. Vous entendez un son. Un message s’affiche. Vous lisez, vous répondez.
Un SMS de Type 0 arrive sur votre téléphone. Vous n’entendez rien. Rien ne s’affiche. Pourtant, votre téléphone a bel et bien reçu le message, et il a automatiquement répondu.
Sans vous en avertir. Sans vous demander la permission.
Ce n’est pas un virus. Ce n’est pas un bug.
C’est une fonctionnalité standard du réseau cellulaire, définie dans la spécification technique 3GPP TS 23.040, héritée de l’ère GSM. La spécification dit textuellement que le téléphone « doit accuser réception, mais peut ignorer le contenu ».
Must acknowledge receipt. May discard contents.
Votre téléphone répond. Vous, vous ne savez rien.
Ce qui se passe concrètement
Quand quelqu’un envoie un Type 0 à votre numéro :
- Le message transite par un protocole de signalisation qui date des années 80 — SS7
- Votre téléphone le reçoit au niveau du modem, en dessous du système d’exploitation
- Il envoie automatiquement un accusé de réception au réseau
- L’opérateur enregistre l’événement avec l’identifiant de l’antenne cellulaire qui vous a servi (Cell ID)
Ce dernier point est celui qui m’a le plus frappé.
En zone urbaine dense, une antenne couvre un secteur de quelques dizaines à quelques centaines de mètres. En corrélant plusieurs pings de Type 0 avec une base de données publique comme OpenCellID, on peut reconstruire un déplacement avec une précision qui peut descendre sous les 100 mètres.
Pas de GPS. Pas de localisation explicite demandée. Juste de la signalisation réseau standard.
Qui envoie des Type 0?
Il y a trois catégories.
Les opérateurs eux-mêmes, d’abord. Vérifier qu’une SIM est active, gérer des appareils IoT en arrière-plan, tester la couverture réseau : ce sont des usages légitimes et invisibles pour l’abonné.
Les forces de l’ordre, ensuite. En Allemagne, des questions parlementaires ont révélé que les autorités envoient des centaines de milliers de SMS de Type 0 par année dans le cadre de filatures légales. Ordonnance judiciaire, pings périodiques au numéro cible, collecte des Cell IDs, reconstruction du trajet. C’est la version à distance de l’IMSI-catcher.
Les acteurs malveillants, enfin. Validation de numéros actifs avant une attaque ciblée, traçage de déplacement, tentatives de forcer un appareil vers des protocoles plus faibles : tout ça est documenté. La barrière d’entrée est réelle — ce n’est pas à la portée d’un individu isolé. Mais pour un État ou un groupe bien organisé avec accès au réseau de signalisation : c’est trivial.
Ce n’est pas un bug — c’est le design
J’insiste là-dessus parce que c’est ce qui m’a le plus surpris.
On n’exploite pas une vulnérabilité. On n’installe pas de logiciel espion. On utilise simplement une fonctionnalité prévue dans les spécifications techniques du protocole, déployée sur chaque réseau cellulaire du monde, qui n’a pas changé en 30 ans.
Le réseau a été conçu à une époque où SS7 était un club fermé entre opérateurs qui se faisaient implicitement confiance. Il n’y avait pas d’authentification forte parce qu’on n’en voyait pas l’utilité.
Aujourd’hui, cet accès n’est plus strictement réservé aux opérateurs historiques. Et le modèle de confiance implicite est devenu un problème structurel.
On a ajouté des filtres, des pare-feu SS7, des mécanismes de détection. Mais ce n’est pas un redesign. C’est du rafistolage sur une architecture de 40 ans.
Et 5G? Tant qu’on reste en mode NSA (Non-Standalone Architecture, qui s’appuie encore sur un cœur de réseau 4G), les risques SS7 ne disparaissent pas.
Signal, WhatsApp, VPN : ça change quoi?
Rien sur ce point précis.
Signal et WhatsApp chiffrent vos communications sur internet. Le SMS de Type 0, lui, opère au niveau de la signalisation de l’opérateur — une couche complètement en dessous, que ces applications ne touchent pas. Un VPN non plus.
Vous pouvez utiliser Signal en permanence et quand même recevoir des Type 0 à votre insu. Les deux niveaux sont complètement séparés : l’un ne protège pas contre l’autre.
Ce que ça signifie pour vous
Je n’écris pas cet article pour vous faire peur. Je l’écris parce que je trouve important que les dirigeants comprennent ce que leur téléphone fait sans qu’ils le sachent.
Quelques réflexions concrètes :
Pour les contextes sensibles (négociation, fusion-acquisition, voyages dans certains pays), la présence d’un téléphone cellulaire actif est une source de données de localisation — indépendamment de vos autres pratiques numériques.
Pour vos fournisseurs de sécurité, c’est une bonne question à poser : « Qu’est-ce que votre programme couvre en termes de signalisation réseau? » La réponse sera souvent « rien », et c’est correct — mais au moins vous le savez.
La seule mitigation réelle, si vous en avez besoin, c’est l’absence d’appareil ou le mode avion complet. C’est radical, mais c’est la seule protection côté utilisateur.
Bref
Je suis peut-être en retard sur ce sujet. Des chercheurs en télécoms le savent depuis des années.
Pourtant, dans les conversations que j’ai avec des dirigeants et des équipes de sécurité en PME, ce n’est presque jamais mentionné.
Ce n’est pas un exploit. Ce n’est pas une nouveauté. C’est une fonctionnalité vieille de 30 ans, qui fonctionne parfaitement, et dont les implications pour la vie privée et la sécurité opérationnelle sont réelles.
Le réseau cellulaire sait où vous êtes. Pas parce que quelqu’un a piraté votre téléphone. Parce que votre téléphone fait exactement ce pour quoi il a été conçu.
Des questions ou des nuances à ajouter? Je lis les commentaires.
Pour aller plus loin
La spécification technique à la source
- 3GPP TS 23.040 — La spécification originale qui définit le SMS, incluant le Type 0. C’est là que se trouve la phrase “must acknowledge receipt, may discard contents”.
Recherches récentes — exploitation en conditions réelles
- Citizen Lab — Bad Connection (avril 2026) — Rapport de recherche majeur qui documente deux campagnes de surveillance utilisant SS7 et Diameter pour tracer des cibles à leur insu. La première implique un cadre de haut niveau, la seconde un SMS avec commandes cachées pour transformer l’appareil en balise. Premier rapport à lier ce type d’attaque à des vendeurs de surveillance commerciale et à des acteurs étatiques.
- TechCrunch — Surveillance vendors caught abusing access to telcos (avril 2026) — Couverture journalistique du rapport Citizen Lab, accessible et bien vulgarisée.
- TechCrunch — A surveillance vendor was caught exploiting a new SS7 attack (juillet 2025) — Un fournisseur de surveillance au Moyen-Orient, pris en flagrant délit, exploitant une nouvelle variante d’attaque SS7 pour localiser des abonnés. Illustre que le problème est actif et commercial.
Vue d’ensemble technique — état des risques en 2025
- P1 Security — SS7, Diameter, GTP, IMS & 5G Vulnerabilities (2025) — Tour d’horizon structuré des vecteurs de risque sur les réseaux mobiles, incluant SS7 et les architectures 5G NSA. Bonne référence pour comprendre pourquoi « passer à la 5G » ne règle pas le problème.
Sur la transparence policière — ce qu’on ne sait plus
- digit.site36.net — Surveillance now banned in secrecy (avril 2024) — Depuis 2024, le gouvernement allemand a classifié les statistiques sur l’usage des SMS silencieux. Les chiffres ne sont plus publiés. En 2022, la police fédérale en avait envoyé près de 100 000.
La base de données de géolocalisation par antenne
- OpenCellID — La plus grande base de données ouverte d’antennes cellulaires. Illustre concrètement pourquoi un Cell ID peut se transformer en position géographique.