Le FBI et la CISA, ainsi que les services allemands et néerlandais, alertent sur une vaste campagne russe de "phishing" ciblant des messageries telles que WhatsApp et Signal. Sont particulièrement visées les personnalités politiques, militaires et du monde du renseignement.
Une vaste opération. Des acteurs malveillants affiliés aux services de renseignement russes mènent des campagnes d’hameçonnage pour compromettre des applications de messagerie comme WhatsApp et Signal, dans le but de prendre le contrôle de comptes appartenant à des personnes disposant de renseignements sensibles.
"Ces campagnes cherchent à contourner le chiffrement pour cibler les comptes d’utilisateurs, notamment des responsables gouvernementaux américains, actuels ou anciens, des militaires, des personnalités politiques et des journalistes", précise une note publiée en fin de semaine dernière par l’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) et le FBI.
"Cette campagne cible des individus hautement qualifiés en matière de renseignement, notamment des responsables gouvernementaux américains actuels et anciens, des militaires, des personnalités politiques et des journalistes", a déclaré Kash Patel, directeur du FBI, dans une publication sur le réseau social X.
"À l’échelle mondiale, cette opération a permis d’accéder sans autorisation à des milliers de comptes. Une fois l’accès obtenu, les auteurs peuvent consulter les messages et les listes de contacts, envoyer des messages en se faisant passer pour la victime et mener d’autres tentatives d’hameçonnage en utilisant une identité de confiance", précise-t-il.
Ces attaques par hameçonnage ciblent les comptes des applications de messagerie, sans exploiter de faille technique. Elles utilisent de faux messages d'alerte (par exemple, un faux signalement d'activité suspecte ou de connexion inconnue) pour créer un sentiment d'urgence et piéger l'utilisateur.
L'ancien chef des renseignements de l'OTAN ciblé
Plutôt dans le mois de mars, différents services européens ont été touchés par cette opération de grande ampleur. En Allemagne, l’ancien vice-président du Service fédéral de renseignement (BND) et des renseignements de l’OTAN, Arndt Freytag von Loringhoven, a été victime d’une cyberattaque ciblant les utilisateurs de Signal.
L’homme de 69 ans a lui-même raconté au Spiegel qu’une personne se faisant passer pour un membre du support de l’application l’avait contacté pour lui demander son code PIN, qu’il a alors communiqué. Il n’est pas le seul à avoir été ciblé. D’autres personnalités politiques allemandes de haut rang et des agents actifs des services de sécurité ont signalé avoir été touchés.
Aux Pays-Bas également, les services de renseignement néerlandais ont, pour la première fois, attribué publiquement ces attaques à leurs auteurs présumés, désignant des "acteurs de l’État russe". "Les applications de messagerie instantanée comme Signal et WhatsApp, malgré leur chiffrement de bout en bout, ne sont pas des canaux adaptés à la transmission d’informations classifiées, confidentielles ou sensibles", a précisé le vice-amiral Peter Reesink, directeur du Service de renseignement militaire néerlandais (MIVD) à La Haye.
Bien que les agences n’aient pas encore attribué cette activité à un acteur spécifique, des rapports antérieurs de Microsoft et du Google Threat Intelligence Group ont lié de telles campagnes à plusieurs groupes de menaces alignés sur la Russie. Parmi eux, le groupe de cybercriminels russe "Star Blizzard", suivi de près par les experts de Microsoft, envoyait à ses cibles habituelles des messages d’hameçonnage ciblés, les incitant cette fois à rejoindre un groupe WhatsApp. Les spécialistes ont observé cette tactique pour la première fois à la fin de l’année 2024.
Des groupes liés à la Russie?
Un autre groupe, attribué aux services de renseignement extérieurs russes (SVR) par plusieurs gouvernements et connu sous le nom "APT29", se concentre principalement sur la collecte de renseignements diplomatiques et politiques, ciblant notamment l’Europe et les États membres de l’OTAN. La société américaine de cybersécurité Mandiant, filiale de Google, a observé qu’APT29 ciblait également des entreprises technologiques et des prestataires de services informatiques dans les pays de l’OTAN.
Notamment avec le but de faciliter "la compromission de tiers" ainsi que "la chaîne d’approvisionnement logicielle des organisations gouvernementales et politiques". Cet acteur, très habile dans les environnements cloud, prend soin d’effacer ses traces, rendant sa détection, son suivi et son expulsion des réseaux compromis particulièrement difficiles.
Pour mieux se prémunir contre ce type d’attaques, les autorités et les plateformes recommandent de ne jamais partager son code SMS ou son code PIN de vérification avec quiconque, de rester vigilant face aux messages inattendus provenant de contacts inconnus, de vérifier les liens avant de cliquer dessus, et de contrôler régulièrement les appareils connectés pour supprimer ceux qui semblent suspects.
Raphaël Raffray