Le FBI a récemment diffusé un avis public mettant en garde contre des acteurs de menace liés aux services de renseignement russes, qui ciblent activement les utilisateurs d’applications de messagerie chiffrées telles que Signal et WhatsApp. Ces campagnes de phishing ont déjà compromis des milliers de comptes.
C’est la première fois que le FBI attribue directement ces attaques aux services de renseignement russes, offrant ainsi une identification précise plutôt qu’une vision générale des hackers d’état.
Selon le FBI, ces campagnes cherchent à contourner les protections offertes par le chiffrement de bout en bout des applications de messagerie commerciales, non pas en déchiffrant les communications, mais par le biais de détournements de compte.
Les techniques utilisées dans ces attaques peuvent s’appliquer à plusieurs applications de messagerie, mais visent principalement les utilisateurs de Signal. En fonction de l’accès obtenu, les attaquants peuvent lire des messages privés, accéder aux listes de contacts, usurper l’identité des victimes et lancer d’autres campagnes de phishing comme des contacts de confiance.
Ces attaques ont touché « des milliers » de comptes à l’échelle mondiale, principalement des individus ayant accès à des informations sensibles. Le FBI précise que ces actes ciblent des personnes de haute valeur en matière de renseignement, notamment des agents gouvernementaux, des militaires, des figures politiques et des journalistes.
Cette attribution du FBI fait suite à des mises en garde antérieures émises par les autorités de cybersécurité néerlandaises et françaises qui avaient décrit des opérations similaires de détournement de compte.
Au début du mois, des agences de renseignement néerlandaises avaient averti que des attaquants soutenus par l’État ciblaient les utilisateurs de Signal et WhatsApp dans des campagnes de phishing visant à obtenir un accès aux communications sécurisées.
Leurs conseils ont souligné que ces attaques reposent sur des manipulations des utilisateurs afin de leur permettre d’ajouter le compte attaquant à leurs dispositifs ou de lier des appareils sous contrôle de l’attaquant à leur compte.
De son côté, le Centre de Coordination des Cybers Crises de France (C4) a également publié une alerte concernant les mêmes tactiques, affirmant que cette activité est répandue et continue dans plusieurs pays.
Attaques de phishing sur Signal
Les trois avis indiquent que les attaques par phishing suivent le même schéma consistant à contourner le chiffrement en détournant des comptes ou en liant des dispositifs à un compte existant.
Source: FBI
Lors de ces attaques, la plupart des messages de phishing se font passer pour des comptes de support, demandant à la victime d’effectuer une action qui accorde secrètement aux acteurs de menace un accès à leur compte.
Les victimes sont souvent dupées en partageant des codes de vérification ou en scannant des codes QR malveillants qui lient leurs comptes (Signal et WhatsApp) à des dispositifs contrôlés par les attaquants.
Source: C4 de France
Une fois les acteurs de menace accédés aux comptes, ils peuvent surveiller silencieusement les communications, rejoindre des discussions de groupe et envoyer des messages en se faisant passer pour l’utilisateur compromis, rendant ainsi leur détection plus difficile et permettant d’autres campagnes de phishing.
L’avis du FBI insiste sur le fait que le chiffrement dans Signal, WhatsApp et des plateformes similaires n’est pas contourné et qu’aucune vulnérabilité n’est exploitée.
Le FBI indique que cette campagne a déjà mené à un accès non autorisé à des milliers de comptes de messagerie, qui ont ensuite été utilisés pour cibler d’autres victimes.
Les utilisateurs sont invités à rester prudents face à des messages inattendus, à se méfier des demandes de scan de QR codes ou de liaison d’appareils à leurs comptes, et à ne jamais partager de codes de vérification, même avec des comptes se prétendant être du support d’une plateforme.