L'agence américaine de cybersécurité (CISA) vient de publier une alerte à destination des utilisateurs d'applications de messagerie populaires. Plusieurs campagnes de spywares exploitent actuellement des failles dans Signal, WhatsApp ou encore Telegram pour compromettre les appareils de personnalités ciblées.
La CISA a identifié plusieurs groupes de hackers, lesquels déploient des logiciels espions commerciaux contre les utilisateurs d'applications de messagerie mobile. Ces groupes utilisent des techniques d'ingénierie sociale et d'exploitation de failles pour s'introduire dans les conversations chiffrées, puis déployer des charges malveillantes supplémentaires sur les appareils des victimes.
Offre partenaire
Protection avancée des e-mails, des calendriers, des mots de passe, du réseau… de votre entreprise grâce à la suite d'applications professionnelles sécurisées.
Offre partenaire
Phishing ou malware, la cible est la même
Parmi les campagnes documentées par la CISA, des acteurs affiliés à la Russie exploitent toujours la fonctionnalité "appareils liés" de Signal. Le principe est simple : ils incitent la cible à scanner un QR code frauduleux. Lorsque la victime a mordu à l'hameçon, les messages sont synchronisés en temps réel vers l'appareil de l'attaquant. Il n'y a donc pas besoin d'orchestrer une intrusion complète du téléphone. On parle ici d'attaque "zero-click", c'est-à-dire ne nécessitant aucune action de la victime après l'infection initiale.
D'autres campagnes comme ProSpy et ToSpy ciblent les utilisateurs Android aux Émirats arabes unis via de fausses applications imitant Signal ou ToTok Messenger. Le spyware ClayRat, lui, se propage en Russie via des canaux Telegram et des pages de phishing reprenant l'apparence de WhatsApp, Google Photos ou TikTok. Sur iPhone, une chaîne d'exploitation combinant deux failles (CVE-2025-43300 et CVE-2025-55177) a permis de cibler moins de 200 utilisateurs WhatsApp. Enfin, le spyware LANDFALL a exploité une vulnérabilité Samsung (CVE-2025-21042) pour infecter des appareils Galaxy au Moyen-Orient via l'envoi d'une simple image sur WhatsApp.
Les recommandations officielles pour se protéger
Les cibles privilégiées de ces attaques sont des personnalités à haut profil : responsables gouvernementaux, militaires, personnels politiques et membres d'organisations de la société civile aux États-Unis, en Europe et au Moyen-Orient.
La CISA recommande aux personnes susceptibles d'être en ligne de mire d'adopter plusieurs mesures concrètes, à commencer par le chiffrement de bout en bout des communications. L'agence préconise d'activer l'authentification FIDO résistante au phishing et d'abandonner l'authentification par SMS, jugée trop vulnérable aux interceptions. L'utilisation d'un gestionnaire de mots de passe et la mise en place d'un code PIN sont également conseillées.
Sur iPhone, la CISA suggère de mettre en place le mode Lockdown, de s'inscrire au proxy iCloud Private Relay et de restreindre les permissions des applications sensibles. Sur Android, elle recommande de choisir des constructeurs ayant un bon historique en matière de sécurité, de n'utiliser les RCS que si le chiffrement est présent, de choisir l'option de protection renforcée de Safe Browsing dans Chrome et de vérifier que Google Play Protect est bien activé.
Il est intéressant de noter que l'agence déconseille par ailleurs l'usage de VPN personnels en affirmant : "Beaucoup de fournisseurs de VPN gratuits et commerciaux appliquent des politiques de sécurité et de confidentialité discutables." On le sait, plusieurs états du pays mènent une lutte contre le VPN. Il est aussi vrai que de nombreuses applications se présentant comme des VPN gratuits ne sont que des chevaux de Troie. En pratique, l'idée est surtout de s'assurer que la politique no-log a été confirmée par des audits externes.
