Quinze mois après les premières alertes, Signal introduit enfin des garde-fous contre le phishing par QR code. La France, qui avait choisi Olvid entre-temps, observe la manœuvre avec un intérêt poli.
La fonction « appareils liés » de Signal est devenue, depuis février 2025, le vecteur d'attaque favori de plusieurs groupes affiliés aux services russes. Rapport après rapport, alerte après alerte, les agences de sécurité européennes ont documenté la même mécanique. Signal déploie de nouvelles confirmations in-app pour tenter de refermer cette porte.
Quinze mois de campagne, un seul mode opératoire
Le scénario est toujours le même (c'est ce qui le rend redoutable). L'attaquant se fait passer pour un « Signal Security Support ChatBot » ou un contact de confiance. Il envoie à la cible un QR code ou un lien, sous prétexte d'une vérification de sécurité urgente. Si la victime scanne le code, l'appareil de l'attaquant s'associe au compte Signal via la fonction « linked devices ». À partir de là, tous les messages sont reçus en double : par la cible et par l'espion. Pas de faille cryptographique, pas de contournement du chiffrement de bout en bout. Juste de l'ingénierie sociale bien ficelée.
La chronologie donne le vertige et nous rappelle qu'aucune messagerie centralisée n'est à l'abri. En février 2025, Google Threat Intelligence Group identifie les groupes APT44 (Sandworm), UNC5792 et UNC4221 exploitant cette technique contre des responsables ukrainiens. En février 2026, le BSI et le BfV allemands publient une alerte conjointe visant politiques, militaires et journalistes. En mars 2026, les services néerlandais AIVD et MIVD, puis le FBI et la CISA américains, confirment l'ampleur de la campagne. En France, le C4 émet sa propre alerte. Ce centre coordonne l'ANSSI, le COMCYBER et la DGSI. Sa recommandation est claire : ne jamais scanner un QR code reçu par message. Et vérifier régulièrement la liste de ses appareils liés.
Quinze mois entre le premier rapport et la mise à jour corrective de Signal. Un délai qui se voit.
Deux philosophies, deux réponses
La réponse de Signal ajoute des étapes de confirmation et des messages d'avertissement lors de l'ajout d'un nouvel appareil. L'objectif est d'introduire suffisamment de friction pour qu'une demande suspecte déclenche un réflexe de méfiance avant le scan. C'est une approche défensive classique : renforcer l'interface sans modifier l'architecture.
La France avait pris un chemin différent bien avant. En novembre 2023, une instruction de la Première ministre Élisabeth Borne recommandait Olvid pour les échanges entre ministres et hauts fonctionnaires. Cette messagerie française, conçue par Thomas Baignères et Matthieu Finiasz (anciens de l'EPFL), repose sur un postulat radical. L'argument central : Olvid fonctionne sans annuaire centralisé. Pas de numéro de téléphone à compromettre, pas d'« appareils liés » à détourner. Le vecteur d'attaque qui empoisonne Signal depuis 15 mois n'existe tout simplement pas dans l'architecture d'Olvid. À côté, Tchap (le fork Matrix de la DINUM) couvre les agents publics pour les échanges internes.
Les deux approches ne sont pas incompatibles, mais elles reflètent une divergence de fond. Signal corrige l'interface. Olvid supprime la surface d'attaque. Pour ceux qui ne sont ni ministres ni cibles d'État (la grande majorité), la mise à jour Signal reste la protection la plus immédiate. Encore faut-il l'installer.
Si vous utilisez Signal, trois gestes suffisent : ouvrir les paramètres, vérifier la liste des appareils liés, supprimer tout ce que vous ne reconnaissez pas.
