Le FBI et la Agence américaine de sécurité des infrastructures et de la cybersécurité (CISA) ont mis à jour une alerte publique. Ils annoncent que des pirates liés aux services de renseignement russes ont perfectionné leur campagne de phishing contre les utilisateurs de Signal. Leur nouvel objectif est de voler les clés de récupération de sauvegarde, ce qui leur donne accès aux archives de messages des victimes.
Cette annonce fait suite à un premier avertissement publié en mars 2026. Elle précise que les pirates, déjà connus pour cibler les applications de messagerie comme Signal, ont affiné leurs méthodes. Leur but reste de détourner les comptes plutôt que de briser le chiffrement de bout en bout.
« Les acteurs de la menace liés aux services de renseignement russes continuent d’usurper l’identité de comptes d’assistance automatisés dans leurs messages de phishing, mais ils ont modifié leurs tactiques pour tenter d’obtenir les clés de récupération de sauvegarde des victimes », indique le communiqué du FBI publié aujourd’hui.
Selon le FBI, cette campagne vise toujours des personnes à haute valeur de renseignement. Parmi les cibles figurent des responsables gouvernementaux américains et internationaux, actuels ou anciens, du personnel militaire, des personnalités politiques, des journalistes et des fonctionnaires clés en Ukraine.
Les agences attribuent cette activité aux services de renseignement russes (RIS). Cela inclut des officiers intégrés aux gardes-frontières du Service fédéral de sécurité (FSB), ainsi que d’autres acteurs qui opèrent pour le compte de l’armée russe. La campagne est identifiée publiquement sous les noms de code UNC5792 et UNC4221.
Une nouvelle technique de phishing vise les sauvegardes Signal
L’avertissement initial portait sur des tentatives de vol de codes de vérification ou de codes PIN, ou sur des techniques pour inciter les utilisateurs à lier un appareil contrôlé par les pirates à leur compte Signal. La nouvelle alerte révèle que les attaquants ont progressé.
Le FBI explique qu’ils continuent d’usurper l’identité des équipes d’assistance de Signal. Ils envoient des messages de phishing qui prétendent à tort que Signal impose une vérification à deux facteurs obligatoire. Ce changement serait une réponse à une vague présumée d’attaques menées par des pirates iraniens et originaires de pays post-soviétiques.
« Récemment, les tentatives de piratage des utilisateurs de notre messagerie avec la connexion de dispositifs tiers au compte sont devenues plus fréquentes », peut-on lire dans le premier message frauduleux.
« Une enquête menée conjointement avec le gouvernement américain et des partenaires européens a révélé que les attaques sur les comptes étaient menées par des pirates d’Iran et de pays post-soviétiques. En conséquence, Signal met à jour ses conditions d’utilisation et sa politique de confidentialité, et introduit une vérification à deux facteurs obligatoire pour les utilisateurs. »
« Pour ne pas perdre vos messages et vos médias, configurez votre sauvegarde Signal (Paramètres -> Sauvegardes -> Activer les sauvegardes -> Voir la clé de récupération -> Copier dans le presse-papiers -> Suivant -> Saisir la clé de récupération -> Suivant -> Continuer -> Choisir votre plan de sauvegarde). Cliquez sur le bouton « Accepter » dans la fenêtre pop-up et restez à l’écoute des mises à jour de sécurité sur notre messagerie. »
Lorsqu’une cible suit ces instructions, ses messages Signal sont sauvegardés via la fonctionnalité Secure Backups de Signal. Cette fonction stocke des copies chiffrées des conversations sur les serveurs cloud de Signal.
Les données sont chiffrées de bout en bout à l’aide de la clé de récupération créée lors des étapes précédentes. Cette clé ne doit jamais être partagée, car quiconque la possède peut l’utiliser pour récupérer la sauvegarde sur ses propres appareils.
Les pirates envoient ensuite un second message de phishing, toujours en se faisant passer pour le support Signal. Ce message avertit l’utilisateur que ses données risquent d’être perdues à cause d’un problème de synchronisation.
« Les données de votre compte Signal (messages et médias) risquent une perte permanente en raison d’un problème de synchronisation », indique le second message frauduleux.
Les pirates demandent alors à la victime d’accéder aux paramètres de sauvegarde, de copier sa clé de récupération dans le presse-papiers et de la coller dans le message pour éviter la perte de ses données.
Cependant, une fois que la victime fournit sa clé de récupération, les attaquants peuvent restaurer la sauvegarde sur leurs propres appareils. Ils obtiennent ainsi l’accès à l’historique complet des messages de la victime, y compris les conversations privées et de groupe.
L’alerte mise à jour prévient aussi d’un scénario de récupération que les utilisateurs pourraient négliger après un piratage de leur compte.
Le FBI avertit que si un pirate obtient la clé de récupération d’un utilisateur, la création d’un nouveau compte Signal avec le même numéro de téléphone n’invalide pas l’ancienne clé volée.
Les utilisateurs doivent plutôt générer une nouvelle clé de récupération de sauvegarde via les paramètres de sauvegarde de Signal. Cette action invalide la clé précédente pour les futurs téléchargements de sauvegarde.
Néanmoins, les agences précisent que générer une nouvelle clé n’empêchera pas les pirates d’accéder aux sauvegardes qu’ils ont déjà téléchargées avec la clé compromise.
L’avis actualisé rappelle aux utilisateurs que les équipes officielles de support des applications de messagerie ne communiquent que via des adresses email officielles. Elles ne demandent jamais les codes de vérification dans l’application et n’envoient pas de liens pour faire vérifier ou restaurer un compte.
Toute personne qui pense être victime de cette campagne est encouragée à signaler l’incident au Internet Crime Complaint Center (IC3) du FBI, à un bureau local du FBI ou à la CISA.