Une entreprise discrète basée à Jakarta, en Indonésie, a construit pendant plus de vingt ans l’un des empires de surveillance téléphonique les plus étendus et les plus discrets au monde. Son nom : First Wap. Son outil phare : Altamides, un système capable de localiser en temps réel n’importe quel téléphone portable sur la planète, sans laisser la moindre trace sur l’appareil de la victime.
C’est quoi Altamides
First Wap est une société de surveillance basée en Indonésie et dirigée par des Européens, qui commercialise Altamides (Advanced Location Tracking and Mobile Information and Deception System), un puissant outil logiciel permettant de suivre des téléphones mobiles dans le monde entier en exploitant des vulnérabilités du Signaling System 7 (SS7). Altamides permet la géolocalisation en temps réel, l’interception de SMS et la surveillance des appels, sans laisser de traces ni nécessiter l’installation d’un logiciel malveillant.
L’histoire a éclaté grâce à une fuite massive. En 2024, l’équipe de Lighthouse Reports a découvert sur le dark web une archive secrète contenant plus d’un million d’opérations de traçage réalisées entre 2007 et 2014 (et au-delà dans certains cas). Ces données, analysées pendant des mois par un consortium international de médias (Mother Jones, Paper Trail Media, Reveal, Le Monde et d’autres), révèlent un réseau de surveillance qui a touché plus de 14 000 numéros de téléphone dans plus de 160 pays.
Comment fonctionne Altamides ?
Altamides exploite une faille ancienne et bien connue des réseaux téléphoniques : le protocole SS7 (Signaling System No. 7). Ce système, conçu dans les années 1970 pour router les appels et les SMS, n’a jamais été sécurisé contre les abus. Toute entité disposant d’un accès SS7 peut interroger le réseau pour savoir à quelle antenne-relais un téléphone est connecté, et donc localiser son propriétaire avec une précision redoutable.Contrairement aux logiciels espions comme Pegasus, Altamides ne nécessite aucun malware sur le téléphone cible. Pas d’installation, pas de notification, pas de trace détectable par l’utilisateur. Le système peut également :
- Détecter les mouvements et les habitudes de déplacement
- Identifier si plusieurs personnes se trouvent à proximité les unes des autres
- Dans certaines versions plus récentes, rediriger des appels ou des SMS, voire prendre le contrôle de comptes comme WhatsApp.
First Wap proposait deux modes d’utilisation :
- Vente d’un système complet installé chez le client (gouvernement ou entreprise)
- Accès via un portail web, en passant par des opérateurs partenaires en Indonésie ou au Liechtenstein.
Qui était visé ?
L’analyse des données a permis d’identifier des cibles dans 100 pays. Parmi elles:
- Des journalistes, des activistes des droits humains et des dissidents politiques
- Des personnalités publiques : l’acteur Jared Leto, le fondateur de Blackwater Erik Prince, la femme de l’ancien dictateur syrien Bachar al-Assad, la journaliste d’investigation italienne Gianluigi Nuzzi (connu pour ses enquêtes sur le Vatican), la productrice Netflix Adam Ciralsky, ou encore la PDG de 23andMe Anne Wojcicki
- Des dirigeants politiques, des procureurs (comme Liat Ben Ari à Tel Aviv), des cadres de grandes entreprises et même des célébrités du monde du sport ou de la musique
- Des personnes ordinaires : un coach de softball à Hawaï, un restaurateur dans le Connecticut, une organisatrice d’événements à Chicago.
En Indonésie, des journalistes et opposants politiques ont été ciblés. En Europe, des enquêtes nationales (NRK en Norvège, Tempo en Indonésie) ont révélé des traçages de cadres de télécoms ou de militants environnementaux.
Une entreprise européenne cachée derrière l’Indonésie
First Wap a été fondée à la fin des années 1990 par des Européens (principalement allemands et autrichiens). À l’origine spécialisée dans les messages marketing SMS, l’entreprise a rapidement pivoté vers la surveillance après une demande d’une agence de lutte antiterroriste.
Pourquoi l’Indonésie ? Des lois d’exportation très permissives permettent d’éviter les contrôles stricts européens ou américains. Les dirigeants européens gèrent l’entreprise depuis Jakarta, et les contrats sensibles passent souvent par la base indonésienne pour contourner les régulations sur les exportations de technologies de surveillance.
Un commercial de l’entreprise, interrogé sous couverture par un journaliste de Lighthouse Reports lors d’un salon à Prague, n’a pas caché les pratiques : « Le problème, c’est la licence d’exportation ? On peut trouver un moyen. »
Les clients connus ou suspectés incluent des gouvernements tel que : Biélorussie, Indonésie, Malaisie, Nigeria, Arabie saoudite, Singapour, Émirats arabes unis, Ouzbékistan… First Wap affirme que ses outils servent uniquement à lutter contre le crime organisé, le terrorisme et la corruption. L’entreprise nie toute activité illégale ou violation des droits humains.
Les implications pour la vie privée
Cette affaire met en lumière la vulnérabilité persistante des réseaux téléphoniques mondiaux. Malgré les alertes répétées des experts en cybersécurité depuis plus de dix ans, le protocole SS7 reste largement exploitable. Des opérateurs comme Telecom Liechtenstein ont servi de passerelle pour des centaines de milliers de requêtes de localisation.Pour les citoyens ordinaires, le message est clair : votre téléphone peut être localisé à votre insu par des États, des entreprises ou des acteurs privés, sans que vous en soyez jamais informé.
Réactions et perspectives
Amnesty International a appelé à un renforcement urgent des régulations internationales sur le commerce des outils de surveillance. Au Parlement européen, des questions ont été posées sur le contournement des contrôles d’exportation via des pays tiers.
First Wap continue d’opérer, et l’enquête suggère que des outils similaires existent encore aujourd’hui. L’industrie de la « surveillance as a service » reste florissante, souvent dans l’ombre.Cette révélation rappelle que, dans un monde hyperconnecté, la vie privée est plus fragile que jamais. Sans réformes profondes des protocoles télécoms et des règles d’exportation, des empires de surveillance comme celui de First Wap continueront de prospérer.
Sources principales : Enquête « Surveillance Secrets » de Lighthouse Reports (octobre 2025), article détaillé de Mother Jones, révélations croisées avec Reveal, Le Monde et d’autres partenaires.
