Des acteurs étatiques russes ont compromis des comptes Signal et WhatsApp de fonctionnaires et de journalistes. Signal et les services de renseignement néerlandais ont publié le 9 mars des alertes concordantes. Notons d'emblée que le chiffrement de la messagerie n'est pas remis en cause.
Signal a reconnu que des comptes d'utilisateurs avaient été pris de contrôle, dont ceux de responsables gouvernementaux. Le même jour, les agences de renseignement néerlandaises AIVD et MIVD ont publié un bulletin d'alerte ciblant à la fois Signal et WhatsApp, en attribuant la campagne à des acteurs russes liés à l'État.
Offre partenaire
Protection avancée des e-mails, des calendriers, des mots de passe, du réseau… de votre entreprise grâce à la suite d'applications professionnelles sécurisées.
Offre partenaire
Pas de faille technique : l'utilisateur est la cible
Signal l'a confirmé : son infrastructure et son chiffrement de bout en bout n'ont pas été compromis. Ces attaques reposent exclusivement sur la manipulation des victimes par ingénierie sociale, pas sur une vulnérabilité dans l'application.
Deux méthodes ont été repérées. La première consiste à utiliser un faux chatbot, baptisé "Signal Security Support ChatBot" dans les messages frauduleux. Celui-ci contacte les cibles directement dans l'application. Le bot prétend détecter une activité suspecte et réclame un code de vérification SMS ou un code PIN. Si l'utilisateur s'exécute, l'attaquant enregistre le compte sur un appareil qu'il maîtrise et en prend le contrôle total. C'est précisément ce que nous rapportions le mois dernier.
La seconde méthode détourne la fonctionnalité "appareils liés", normalement destinée à synchroniser Signal sur plusieurs terminaux. En convainquant une cible de scanner un QR code malveillant, l'attaquant associe discrètement son propre appareil au compte de la victime et lit les échanges en temps réel.Aucune alerte n'est envoyée pour prévenir la victime.
Une menace qui dure depuis un an
Les agences AIVD et MIVD ont confirmé que des agents gouvernementaux néerlandais figurent parmi les victimes. Des journalistes et du personnel militaire seraient également ciblés, en raison de leur valeur stratégique pour Moscou.
Ce n'est pas la première alerte du genre. Le mois dernier, les agences allemandes BSI et BfV avaient observé une campagne similaire ciblant des responsables politiques, militaires et des journalistes via Signal. Les groupes russes - dont APT44 (Sandworm) et UNC5792 - exploitaient déjà la fonction "appareils liés" pour espionner des communications liées au conflit ukrainien.
Pour limiter les risques, Signal et les agences recommandent trois gestes :
- Activer le verrouillage du compte (Settings > Account > Registration Lock).
- Vérifier les appareils connectés (Settings > Linked Devices), et
- Ne jamais communiquer un code PIN ou SMS.
Signal précise que son support ne contacte jamais les utilisateurs via l'application ou les réseaux sociaux pour réclamer un tel code. Toute demande de ce type est une arnaque.
