Dans plusieurs pays européens, des militaires, diplomates ou encore des journalistes d’investigation ont été les cibles de tentative de hameçonnage, via des services de messagerie tel que Signal ou WhatsApp. Au regard de la notoriété des personnes ciblées, ces attaques seraient le fait d’un «acteur cyber probablement contrôlé par un État», d’après les services allemands de renseignement intérieur (BfV) et de la cybersécurité (BSI).
Dans un rapport publié conjointement, les renseignements allemands alertent sur ces attaques qui ont la particularité de détourner des «fonctions de sécurité légitimes» et inhérentes aux applications. Au lieu d’installer des logiciels espions ou d’«exploiter des failles techniques du service de messagerie», les hackeurs envoient un message à leur cible en se faisant passer pour le service d’assistance de Signal, une technique éprouvée des pirates.
Les attaquants prétextent un problème de sécurité sur un service pour entrer en contact avec leur victime. «Les hackeurs font également pression sur l’utilisateur en affirmant que ses données privées seront perdues si aucune mesure n’est prise immédiatement», ajoutent les agences allemandes. Pour conserver toutes ses données, les pirates incitent l’utilisateur à communiquer son code PIN, nécessaire pour ouvrir l’application Signal. Les hackeurs peuvent ensuite avoir accès au compte de la victime sur un appareil tiers, dont ils ont le contrôle.
Coupler des appareils en scannant un QR code
Une autre méthode consiste à faire coupler le smartphone de la personne cible à un appareil contrôlé par les hackeurs. Les services de messageries comme Signal ou WhatsApp permettent ainsi à leurs utilisateurs de relier leur compte à d’autres appareils, comme un ordinateur ou une tablette, en scannant un QR code sur leur smartphone.
Les hackers peuvent alors contacter leurs cibles pour les persuader de scanner un QR code, avançant un prétexte crédible, comme rejoindre une conversation groupée. La manipulation sert en réalité à coupler le téléphone de la victime avec un appareil contrôlé par le hackeur.
De là, les pirates ont accès à tous les contacts de la cible, et peuvent remonter aux messages des 45 derniers jours. Bien souvent, la victime conserve l’accès à son compte et ne sait pas que quelqu’un surveille ses conversations.
Campagne menée par des pirates russes
Pour se prémunir de ces cyberattaques, les renseignements allemands recommandent de ne jamais envoyer son code PIN Signal par message, d’activer le «verrouillage d’enregistrement», ou encore de vérifier régulièrement la liste des appareils reliés à son compte. Il faut également se méfier des messages qui viendraient du service de maintenance, car Signal ne contacte jamais ses utilisateurs via la messagerie. «Bloquez ou signalez les comptes qui se font passer pour le service d’assistance de Signal», préviennent les renseignements allemands.
Si les messageries chiffrées tel que Signal ou WhatsApp revendiquent la confidentialité des échanges, elles ne sont pas à l’abri de toute tentative de phishing. L’année dernière, les analystes de Google alertaient déjà sur une campagne de hameçonnage visant Signal, menée par des pirates russes, contre des troupes militaires ukrainiennes.
Romane Haquette