TL;DR : L’essentiel
- Une campagne de manipulation à grande échelle vise les diplomates et militaires sur Signal et WhatsApp. Des attaquants russes tentent de subtiliser les accès personnels sans avoir à forcer le système de sécurité.
- Les pirates usurpent l’identité du support technique pour réclamer un code secret envoyé par SMS. Ce code, normalement confidentiel, permet de transférer le compte de la victime sur l’appareil du cyber-attaquant.
- La fonction de jumelage d’appareils est détournée via de faux codes QR. En scannant une simple image, l’utilisateur autorise sans le savoir un espion à lire ses messages en temps réel.
- Le renseignement souligne que le chiffrement reste intact mais devient inutile si la clé est donnée. La vigilance sur les paramètres de sécurité est le seul moyen de protéger les données.
Une opération de cyberespionnage d’envergure mondiale, orchestrée par des acteurs présumés liés à la Russie, cible actuellement les applications de messagerie instantanée Signal et WhatsApp. Selon les services de renseignement militaire et civil des Pays-Bas, cette campagne ne repose sur aucune faille informatique, aucun virus, ni aucune faiblesse technique des applications elles-mêmes. Il s’agit exclusivement de manipulation psychologique, une technique appelée ingénierie sociale, visant à tromper l’utilisateur pour qu’il ouvre lui-même la porte à ses agresseurs. En exploitant la confiance accordée aux outils de communication réputés inviolables, les attaquants parviennent à prendre le contrôle total des échanges de diplomates, de journalistes et de personnels militaires.
L’imitation du support technique trompe la vigilance humaine
La première méthode d’attaque consiste à se faire passer pour les employés officiels des applications. Les victimes reçoivent un message provenant d’un compte nommé « Signal Security Support Chatbot » ou « Signal Support ». Comme le rapporte Politico, ce faux robot prétend qu’une activité suspecte a été détectée ou qu’une fuite de données menace le compte. Pour « sécuriser » leur accès, les utilisateurs sont poussés à transmettre un code de vérification à six chiffres qu’ils viennent de recevoir par SMS sur leur téléphone.
Ce code est en réalité la clé de sécurité déclenchée par le pirate qui tente d’installer le compte de la victime sur son propre téléphone. Dès que l’utilisateur donne ces chiffres, l’attaquant valide l’installation et devient le nouveau propriétaire du compte. Sur Signal, si la victime n’a pas configuré de code PIN personnel de verrouillage, le pirate peut même voir la liste des contacts et s’introduire dans des discussions de groupe privées. Selon les informations de CyberInsider, cette technique permet aux assaillants d’envoyer des messages en usurpant l’identité du titulaire, qui ne se rend compte de rien car son historique de discussion reste visible et semble normal.
L'essentiel Cybersécurité, IA & Tech
Rejoignez la communauté. 3 fois par semaine, recevez l'analyse des tendances par Marc Barbezat. Pas de spam, juste de l'info.
Les appareils liés servent de passerelle d’espionnage silencieuse
Une variante plus discrète utilise la fonction « appareils liés », qui permet d’utiliser son compte sur une tablette ou un ordinateur. Les pirates envoient un lien ou un code QR malveillant, souvent déguisé en invitation à rejoindre un groupe de travail ou une alerte de sécurité. Si la cible scanne ce code avec son téléphone, l’ordinateur du cyber-attaquant se connecte instantanément au compte comme s’il s’agissait d’un appareil autorisé par l’utilisateur. Cette méthode est surnommée GhostPairing car elle crée un lien invisible qui ne déconnecte pas la victime.
Comme l’explique le média Korben, le chiffrement de bout en bout, qui est le tunnel sécurisé protégeant les messages, n’est absolument pas cassé. Cependant, il devient inefficace puisque le pirate est désormais « à l’intérieur » du tunnel avec la victime après avoir été invité poliment. L’attaquant peut alors lire les conversations au fur et à mesure qu’elles arrivent. Sur WhatsApp, contrairement à Signal, cette technique peut même permettre de consulter d’anciens messages, ce qui expose des secrets diplomatiques ou des stratégies militaires déjà discutés par le passé.
Le renforcement des paramètres protège les communications sensibles
Face à ces menaces, les autorités rappellent qu’aucune application grand public n’est adaptée aux secrets d’État. Le directeur du renseignement militaire néerlandais souligne que ces outils ne doivent jamais servir à transmettre des documents confidentiels. L’article publié par TechCrunch précise que certains signes doivent alerter, comme un contact qui apparaît en double dans une liste ou un numéro connu qui affiche soudainement la mention « compte supprimé » au sein d’une discussion de groupe.
Pour bloquer ces tentatives, il est crucial d’activer le « verrouillage de l’enregistrement ». Cette option impose de saisir un code PIN secret, connu de l’utilisateur seul, pour toute nouvelle installation de l’application. Comme le détaille Malwarebytes, l’activation des messages éphémères, qui s’effacent automatiquement après quelques heures, permet aussi de réduire les dégâts en cas d’intrusion. Enfin, vérifier régulièrement la liste des appareils connectés dans les réglages permet de repérer et de déconnecter immédiatement tout intrus qui lirait les messages à distance.
Cette campagne démontre que la technologie la plus robuste ne peut rien contre la ruse humaine. Si les systèmes de sécurité de Signal et WhatsApp restent intacts, l’ingéniosité des services attribués à la Russie mise sur la précipitation des utilisateurs face à des messages officiels en apparence.
Pour approfondir le sujet
Le FBI met en garde contre des attaques de phishing massives visant Signal et WhatsApp, menées par des pirates informatiques russes.
Des attaques de phishing liées à la Russie ciblent des milliers de comptes de messagerie via de fausses tactiques de support, permettant l'usurpation d'identité et l'accès aux données. Lire la suite
Serveurs, API, temps de veille...
DCOD est indépendant et sans revenus. Soutenez le site pour l'aider à couvrir ses frais techniques.
