Une nouvelle alerte cybersécurité émise par les agences allemandes met en lumière une campagne de phishing ciblant les utilisateurs de l’application Signal, dont les profils politiques, militaires, diplomatiques ou encore les journalistes d’investigation. Ces attaques par ingénierie sociale exploitent la messagerie sécurisée sans malware, afin de prendre le contrôle de comptes et compromettre des réseaux entiers. Une fois encore, la cybersurveillance étatique et le rôle de plateformes comme Signal ou WhatsApp dans la protection des données soulèvent de nombreuses préoccupations.
Une campagne de phishing sur Signal vise des cibles stratégiques
Des conversations privées exploitées comme point d’entrée
Les agences allemandes BfV (Office fédéral de protection de la Constitution) et BSI (Office fédéral pour la sécurité de l’information) ont publié une mise en garde conjointe face à une campagne d’espionnage numérique ciblé par phishing sur Signal. Les cyberattaquants visent des figures clés de la vie publique : hommes politiques, hauts gradés militaires, diplomates et journalistes en Allemagne et dans toute l’Europe.
Les attaquants ne distribuent pas de malware, ni n’exploitent de failles techniques connues dans l’application. Ils utilisent au contraire des fonctions natives de Signal pour détourner des comptes. L’objectif ? Accéder aux conversations privées et potentiellement cartographier les réseaux via les groupes de discussion.
Un faux service client qui usurpe l’identité de Signal
Les pirates se font passer pour le support technique de Signal ou un chatbot nommé “Signal Security ChatBot”. Ils contactent directement la cible en lui demandant de fournir un code PIN reçu par SMS, faute de quoi elle risquerait de perdre ses données.
Cette attaque d’ingénierie sociale permet aux cybercriminels de lier le compte Signal à un nouvel appareil contrôlé par eux. Si la victime transmet le code, les attaquants prennent possession du profil, accèdent à la liste de contacts et peuvent interagir en se faisant passer pour la victime.
Deux techniques d’infection pour prendre le contrôle complet
Le danger de la fonctionnalité de liaison d’appareil
Une autre méthode identifiée consiste à inciter la victime à scanner un code QR qui relie son compte à un nouvel appareil contrôlé par les attaquants. Cette méthode permet d’avoir accès à l’historique des messages sur 45 jours, sans que l’utilisateur initial ne perde l’accès au compte, ni ne se doute de l’intrusion.
Les pirates peuvent alors surveiller les nouvelles conversations en temps réel. Un scénario de plus en plus courant dans les cybermenaces espionnes.
Un impact potentiel sur WhatsApp
Bien que la campagne actuelle cible principalement Signal, le BfV et le BSI alertent que les attaques similaires pourraient toucher WhatsApp, qui dispose aussi de la fonction de liaison d’appareils et d’un système de code PIN pour la vérification en deux étapes.
Les risques sont élevés : les discussions individuelles peuvent être consultées, mais surtout, des intrusions dans les groupes permettent la compromission de réseaux professionnels ou politiques entiers.
Un mode opératoire proche des groupes cyberespions russes
Des indices pointent vers des acteurs étatiques
Les autorités allemandes ne désignent pas de groupe en particulier, mais Microsoft et Google ont rapporté des campagnes similaires menées par des collectifs alignés avec la Russie tels que Star Blizzard, UNC5792 (UAC-0195) ou UNC4221 (UAC-0185). Ces groupes sont spécialisés dans les actions de désinformation et l’espionnage politique.
Une autre campagne, nommée GhostPairing et documentée par Gen Digital fin 2023, visait WhatsApp par des techniques similaires, suggérant un recours massif à cette méthode par des acteurs malveillants.
Attaques coordonnées en Europe par des États tiers
Ces incidents s’inscrivent dans un climat de cybermenaces grandissantes. Récemment, les autorités norvégiennes ont accusé des groupes liés à la Chine d’exploiter des failles dans des équipements réseau pour infiltrer des organisations. La Russie et l’Iran sont également montrés du doigt pour leurs operations de surveillance numérique et intrusion ciblée contre des dissidents ou des infrastructures critiques.
Par exemple, un groupe russe connu sous le nom de Static Tundra aurait orchestré des cyberattaques contre plus de 30 sites d’énergies renouvelables en Pologne, en profitant du manque d’authentification à double facteur sur les dispositifs FortiGate exposés à Internet.
Mesures à adopter pour se prémunir des attaques sur Signal
Activer les protections natives de l’application
Les autorités recommandent plusieurs bonnes pratiques pour réduire les risques d’usurpation de compte :
- Ne jamais répondre aux messages du type support technique sur Signal.
- Ne pas envoyer son PIN via SMS ou chat.
- Activer impérativement la fonction « verrouillage de l’enregistrement » (Registration Lock).
- Vérifier régulièrement les appareils liés à votre compte et supprimer ceux que vous ne reconnaissez pas.
Se former à la cybersécurité face aux menaces persistantes
Comprendre la logique des attaquants permet de mieux anticiper leurs méthodes. Pour aller plus loin, notre livre pour hacker est une excellente porte d’entrée pour apprendre à hacker de manière éthique et renforcer sa culture de la cybersécurité. Une lecture précieuse pour toute personne souhaitant se prémunir contre ces scénarios réalistes de piratage.
Face aux nouvelles menaces numériques, CyberCare accompagne les organisations dans la protection de leurs messageries professionnelles et personnelles contre les attaques de type phishing sur Signal et d’autres plateformes critiques.
