Une opération de phishing cible les utilisateurs de Signal, visant notamment des personnalités clés et des journalistes. La plateforme met en garde contre ces attaques, qui utilisent des techniques de manipulation pour obtenir des informations sensibles. La sécurité de l’application est assurée, mais des mesures de vigilance sont recommandées.
Une nouvelle campagne de phishing s’attaque aux utilisateurs de Signal, l’application de messagerie américaine, pour espionner et contrôler les dispositifs de personnes occupant des rôles stratégiques ainsi que des acteurs du monde de l’information. La plateforme a publié un message officiel sur ses comptes sociaux pour clarifier l’origine des attaques et rassurer sur la sécurité de l’application. « Nous sommes au courant des récents signalements concernant des attaques de phishing ciblées qui ont entraîné la compromission des comptes de certains utilisateurs, y compris des fonctionnaires gouvernementaux et des journalistes« , a fait savoir l’équipe de l’application.
La société a souligné qu’elle prend cette situation « très au sérieux », précisant qu’il ne s’agit pas d’une violation de ses systèmes, mais d’une escroquerie d’ingénierie sociale (social engineering) visant à inciter les victimes à fournir spontanément leurs informations d’accès aux chats.
Fonctionnement de la fraude de phishing sur Signal
Signal est une application de messagerie qui a fait de la sécurité et de la protection de la vie privée son point fort. Développée par une organisation à but non lucratif (la Signal Foundation), la plateforme a été créée pour garantir des communications confidentielles et inaccessibles par des tiers, s’opposant au modèle des grandes entreprises technologiques, qui reposent en grande partie sur la collecte et la gestion des données des utilisateurs. Chaque conversation sur Signal est protégée par une cryptomonnaie de bout en bout qui permet uniquement aux participants de la discussion d’accéder aux messages. Même l’entreprise elle-même n’a pas accès au contenu des communications.
Les attaques survenues récemment ne tirent pas parti de vulnérabilités techniques de l’application, mais cherchent à manipuler les utilisateurs pour qu’ils fournissent eux-mêmes aux malfaiteurs les clés de leurs espaces numériques, en partageant des informations sensibles comme le code de vérification reçu par SMs ou le code PIN de leur compte.
Les attaquants, a expliqué l’équipe de Signal, se font passer pour des contacts fiables ou des services d’assistance fictifs. Dans certains cas, un faux « Signal Support Bot » est mentionné, demandant aux victimes de fournir les codes nécessaires à l’accès à leur compte. Une fois les informations obtenues, les fraudeurs peuvent enregistrer le compte sur un autre dispositif et en prendre le contrôle.
Hypothèse des hackers russes
Signal n’a pas précisé l’origine des attaques, mais récemment, les services de renseignement néerlandais ont rapporté une série de tentatives de phishing (certaines réussies) sur Signal et WhatsApp visant des fonctionnaires des Pays-Bas et du Royaume-Unis, orchestrées par des hackers russes soutenus par Moscou.
« Les services néerlandais estiment que d’autres personnes d’intérêt pour le gouvernement russe, comme des journalistes, pourraient être ciblées par cette campagne », indique une note de l’AIVD, le Service général de renseignement et de sécurité des Pays-Bas.
Selon les services de renseignement néerlandais, l’intérêt croissant de la Russie pour Signal serait principalement lié à sa réputation. La plateforme est considérée comme un outil de communication fiable et indépendant, réputée pour son utilisation de la cryptomonnaie de bout en bout garantissant des niveaux élevés de confidentialité. Pour cette raison, elle est souvent utilisée par des institutions et des gouvernements pour protéger leurs communications internes. La présence de conversations potentiellement sensibles en fait une cible particulièrement attrayante pour les acteurs hostiles en quête d’informations confidentielles.
« Bien que leur option de cryptomonnaie de bout en bout soit en place, les applications de messagerie comme Signal et WhatsApp ne devraient pas être utilisées comme canaux pour des informations classifiées, confidentielles ou sensibles », a rappelé le directeur du MIVD, le vice-amiral Peter Reesink.
Comment se défendre : recommandations de Signal
Dans son fil d’actualité sur X, Signal a rappelé que les codes de vérification envoyés par SMs ne sont nécessaires que lors de la première inscription à l’application. Si quelqu’un demande ces codes plus tard, il s’agit presque sûrement d’une escroquerie. De plus, Signal a précisé que même en cas de dysfonctionnement ou de besoins particuliers, le support officiel ne demande jamais de code PIN ou de codes de vérification par SMs. La société a également indiqué qu’elle travaille à renforcer encore ses défenses avec des améliorations de l’interface et de nouveaux messages d’avertissement au sein de l’application.