TL;DR : L’essentiel
- Le BfV et le BSI confirment une offensive, probablement étatique, visant diplomates, militaires et journalistes d’investigation en Europe. L’attaque contourne les défenses techniques en exploitant la confiance des cibles via l’ingénierie sociale.
- Les attaquants n’utilisent aucun logiciel malveillant ni faille zero-day. Ils détournent exclusivement les fonctionnalités légitimes comme la liaison d’appareils ou les codes de vérification pour s’inviter discrètement dans les conversations privées.
- Sous l’identité « Signal Security Support ChatBot », les pirates simulent une alerte de sécurité critique. En obtenant le code PIN par la peur, ils transfèrent le compte sur leur appareil, éjectant la victime.
- Une variante par QR code permet une surveillance invisible : l’attaquant accède aux contacts et à l’historique des 45 derniers jours. Seuls des messages marqués « lus » sans action de l’utilisateur trahissent l’intrusion.
Le renseignement intérieur (BfV) et l’agence fédérale de sécurité de l’information (BSI) allemands ont publié, ce 6 février 2026, un avis de sécurité urgent concernant une vague d’attaques sophistiquées. Cette campagne cible spécifiquement les hautes sphères politiques, militaires et diplomatiques, ainsi que les journalistes d’investigation. L’opération se distingue par son absence totale de malware : l’acteur, très probablement étatique, utilise les propres mécanismes de sécurité des applications contre leurs utilisateurs pour s’infiltrer au cœur des communications chiffrées.
Le scénario de la peur : « Data leak » et faux support
La première méthode d’attaque repose sur une pression psychologique intense. Les cibles reçoivent un message direct provenant d’un compte baptisé « Signal Security Support ChatBot » ou « Signal Support ». Le texte, souvent en anglais, imite une notification système officielle : « We have noticed suspicious activity on your device, which could have led to data leak » (Nous avons remarqué une activité suspecte… qui pourrait avoir mené à une fuite de données).
Comme le rapporte The Hacker News, les pirates exigent alors un code de vérification SMS ou le code PIN de l’utilisateur pour « bloquer » cette fausse menace. Dès que la victime obtempère, les attaquants enregistrent le compte sur leur propre terminal. La conséquence est immédiate : la victime perd l’accès à son application, tandis que les pirates peuvent usurper son identité pour contacter ses proches, bien qu’ils n’aient pas accès à l’historique des conversations passées stockées localement.
L'essentiel Cybersécurité, IA & Tech
Rejoignez la communauté. 3 fois par semaine, recevez l'analyse des tendances par Marc Barbezat. Pas de spam, juste de l'info.
L’espionnage invisible : 45 jours d’historique exposés
La seconde technique, plus pernicieuse, laisse la victime aux commandes tout en installant un mouchard. Sous un prétexte crédible, l’attaquant incite la cible à scanner un code QR via la fonction « Appareils liés » (Linked Devices). Contrairement au vol de compte, cette action ne verrouille pas l’utilisateur légitime, rendant l’intrusion quasi indétectable.
Selon les détails techniques relayés par Bleeping Computer, cette synchronisation offre aux espions un accès complet aux listes de contacts et, fait critique, à l’historique des chats des 45 derniers jours. Le document officiel du BSI précise les rares signes qui peuvent trahir cette présence : des messages apparaissant comme « lus » alors que l’utilisateur ne les a pas ouverts, ou une application qui s’ouvre de manière inattendue.
Une menace hybride aux frontières de l’Europe
Cette alerte de février 2026 s’inscrit dans un climat de cyber-surveillance accru. Si le mode opératoire rappelle celui de groupes pro-russes comme Star Blizzard, d’autres nations sont également actives. La Norvège pointe du doigt des groupes liés à la Chine exploitant des failles réseaux, tandis que la Pologne a identifié le groupe Static Tundra derrière des attaques contre ses infrastructures énergétiques.
Face à ces menaces, les autorités allemandes recommandent des mesures strictes pour Signal. Il est impératif d’activer le « Verrouillage de l’enregistrement » (Registration Lock) dans les paramètres, qui exige le code PIN pour toute réinstallation. De plus, l’apparition d’une notification indiquant que le « numéro de sécurité » d’un contact a changé doit immédiatement alerter et faire l’objet d’une vérification par un autre canal (appel téléphonique), car cela signe souvent la prise de contrôle du compte d’un interlocuteur.
Cette veille vous a fait gagner du temps ?
Aidez DCOD à payer ses serveurs et à rester 100% gratuit et indépendant.
