Signal dans le viseur des hackers russes, le FBI et la CISA sonnent l’alerte

Des hackers liés aux services de renseignement russes visent des utilisateurs de messageries chiffrées, avec un focus net sur Signal. Le FBI et la CISA décrivent une campagne de phishing et d’usurpation d’identité destinée à contourner la sécurité, non pas en cassant le chiffrement, mais en prenant le contrôle des comptes. Les autorités américaines parlent d’un accès non autorisé à des milliers de comptes dans le monde, sans détailler la méthodologie complète ni l’ampleur exacte par pays.

La cible est choisie, pas aléatoire. L’alerte évoque des personnes à « forte valeur de renseignement », des responsables publics actuels ou anciens, des militaires, des figures politiques, des journalistes. Si tu utilises Signal pour des échanges sensibles, le message est clair, le maillon faible, c’est souvent l’utilisateur face à une demande pressante de code, un faux support, ou une invitation à « sécuriser » son compte en urgence.

Le FBI et la CISA décrivent une campagne visant Signal

L’alerte conjointe du FBI et de la CISA décrit une opération attribuée à des acteurs liés au renseignement russe, centrée sur des applications de messagerie grand public. Le point important, c’est la logique d’attaque, les assaillants ne s’attaquent pas au chiffrement de bout en bout, ils s’attaquent à toi, via des messages trompeurs et des scénarios d’usurpation qui te poussent à livrer ce qui ouvre la porte.

Le texte officiel insiste sur la notion de « high intelligence value », ce qui recouvre des profils qui manipulent des informations sensibles ou qui ont accès à des réseaux intéressants. On parle de responsables gouvernementaux actuels ou anciens, de militaires, de figures politiques, de journalistes. Dans ce type d’opération, un seul compte compromis peut donner accès à un carnet d’adresses, des groupes, des habitudes, et permettre une propagation en chaîne.

Les autorités disent que l’activité a déjà abouti à un accès non autorisé à des milliers de comptes à l’échelle mondiale. Elles ne donnent pas de ventilation, ni de période précise, ce qui limite l’évaluation externe. Mais le signal d’alarme est cohérent avec ce qu’on voit depuis des années, quand une messagerie se généralise chez les décideurs, elle attire des adversaires qui préfèrent le contournement social au défi cryptographique.

Il y a un point à ne pas rater, l’alerte ne vise pas uniquement Signal, elle parle de messageries chiffrées de consommation au sens large. Mais Signal est souvent cité comme cible dominante. Si tu te dis « mon appli est chiffrée donc je suis tranquille », c’est précisément ce raisonnement que les attaquants exploitent, ils n’ont pas besoin de casser la crypto si tu leur donnes le code de vérification ou si tu valides une demande de liaison d’appareil.

Des profils à forte valeur, élus, militaires et journalistes ciblés

Le coeur de la campagne, c’est la sélection des victimes. Les autorités américaines parlent de personnes à forte valeur de renseignement, des officiels actuels ou anciens, des personnels militaires, des acteurs politiques, des journalistes. Ce choix n’a rien d’idéologique dans la mécanique, il est opérationnel, ces profils ont des informations, des sources, des agendas, des contacts, parfois des discussions internes qui intéressent un service de renseignement.

Dans un cas typique, un journaliste qui échange avec une source via Signal n’est pas seulement une boîte de messages, c’est un pont vers d’autres personnes. Un élu local ou national, c’est un accès à des équipes, des conseillers, des groupes de discussion. Un militaire, c’est potentiellement un accès à des informations de contexte, des mouvements, ou des noms. Même sans « secret défense », l’agrégation de détails peut produire une image exploitable.

Le risque ne se limite pas à la lecture de messages. Une fois un compte pris, l’attaquant peut usurper l’identité de la victime, envoyer des messages crédibles, demander un document, pousser un lien, ou relancer une collecte de codes. Le carnet de contacts devient une rampe de lancement. C’est la différence entre un piratage isolé et une campagne, l’objectif est souvent la multiplication des accès par confiance interposée.

Je nuance quand même un point, parler de « profils à forte valeur » ne veut pas dire que le grand public est totalement hors champ. Les techniques décrites peuvent s’appliquer à d’autres personnes, surtout si elles gravitent autour de cibles principales, assistants, collaborateurs, proches, prestataires. Dans beaucoup d’opérations, les attaquants entrent par le côté, via un compte moins protégé, avant de remonter vers la personne la plus intéressante.

Le phishing contourne le chiffrement sans casser Signal

Le message des autorités est presque pédagogique, l’attaque contourne la promesse de confidentialité en visant l’accès au compte. Le chiffrement de bout en bout de Signal n’est pas présenté comme « cassé ». Le scénario décrit, c’est l’usurpation d’un support sécurité, d’un contact, ou d’une autorité, pour te pousser à partager un code de vérification ou à valider une action qui donne le contrôle de ton compte.

Le mécanisme est connu, un message inattendu arrive, parfois formulé comme une alerte, « activité suspecte », « vérification requise », « ton compte va être désactivé ». La pression temporelle est un classique, on te pousse à agir vite, sans vérifier. Si tu transmets le code reçu par SMS ou par l’application, tu viens d’ouvrir la porte. Dans ce type de prise de contrôle, l’attaquant peut ensuite se connecter comme toi.

Les autorités évoquent aussi la capacité de ces techniques à s’appliquer à plusieurs applications de messagerie, même si Signal est particulièrement visé. Ce point est important, la surface d’attaque n’est pas la même selon les applis, mais la logique est identique, l’humain reste la cible. Le fait que des services de renseignement privilégient cette approche montre une réalité, l’ingénierie sociale coûte moins cher que l’exploitation d’une faille cryptographique.

Les conséquences potentielles décrites sont lourdes, selon l’accès obtenu, l’attaquant peut lire des messages privés, récupérer des listes de contacts, se faire passer pour la victime, et lancer de nouvelles tentatives de phishing en profitant de la confiance. Ce n’est pas spectaculaire comme un « zero-day », mais c’est efficace. Et c’est aussi plus difficile à détecter pour une victime qui pense que « tout est chiffré ».

Les recommandations, codes, vérifications et signalement IC3

Les autorités américaines insistent sur des gestes simples, mais qui demandent de la discipline. Première règle, ne jamais partager un code de vérification, même si la demande a l’air légitime. Deuxième règle, examiner les messages inattendus, surtout ceux qui créent une urgence. Troisième règle, vérifier une demande via un autre canal, appeler la personne, écrire sur un autre moyen, ou confirmer en face si possible.

Le conseil de « vérifier hors bande » est central parce qu’il casse la mise en scène. Si un message sur Signal prétend venir d’un collègue ou d’un support, tu bascules sur un autre canal pour confirmer. C’est basique, mais ça marche. Les autorités recommandent aussi de revoir régulièrement les paramètres de compte et d’activer les fonctions de sécurité disponibles. Dans les campagnes de phishing, la routine est l’alliée des attaquants.

Le FBI recommande de signaler les compromissions au IC3, l’Internet Crime Complaint Center, ou de contacter un bureau local. Ce volet est souvent négligé, beaucoup de victimes nettoient et passent à autre chose. Mais pour une campagne attribuée à des acteurs liés à un État, les signalements aident à cartographier les modes opératoires, à identifier des vagues, et à prévenir d’autres cibles avant que l’effet domino ne se produise.

Il y a une limite à ces recommandations, elles reposent sur l’attention humaine. Dans la vraie vie, tu es en déplacement, tu réponds vite, tu fais confiance à un nom connu. Les attaquants comptent sur la fatigue et la surcharge. C’est pour ça que la « cyber-hygiène » doit devenir une habitude d’équipe, pas un effort individuel ponctuel, surtout dans les rédactions, les cabinets, les unités, ou les organisations où l’échange rapide est la norme.

Alertes européennes et extension à WhatsApp selon les services

L’alerte américaine s’inscrit dans une séquence plus large. Des services de renseignement européens ont déjà décrit des campagnes globales visant des comptes de messageries, dont WhatsApp et Signal. Le fait que plusieurs pays convergent sur une même dynamique renforce l’idée d’une opération structurée, avec des méthodes réutilisables. Quand un mode opératoire marche sur une cible, il est industrialisé et adapté à d’autres contextes.

Dans les éléments rapportés, Signal a aussi expliqué que les attaques passaient par des campagnes de phishing sophistiquées, conçues pour pousser les utilisateurs à partager des informations, et que son chiffrement et son infrastructure n’étaient pas compromis. Dit autrement, la sécurité « au cur » tient, mais l’accès au compte reste un angle. C’est une distinction essentielle, tu peux avoir la meilleure crypto du monde, si ton compte est détourné, la confidentialité s’effondre.

Les autorités américaines préviennent aussi que la campagne peut évoluer et intégrer d’autres tactiques, dont des approches plus techniques. Là encore, pas de détails publics, mais le message est clair, la menace n’est pas figée. Dans les opérations de ce type, on observe souvent une alternance entre social engineering, variantes de messages, et tentatives plus intrusives quand la cible devient prioritaire ou quand les défenses s’améliorent.

Pour les organisations, la leçon dépasse Signal. Si tes échanges critiques reposent sur une messagerie, il faut traiter le compte comme un actif sensible, procédures internes, sensibilisation, consignes de vérification, et réaction rapide en cas de doute. Et il faut accepter une idée moins confortable, la messagerie chiffrée n’est pas un bouclier absolu, c’est une brique. Le reste dépend de l’identité, des appareils, et des réflexes face aux demandes « urgentes ».