Des pirates informatiques russes exploitent la fonctionnalité « Linked Devices » de Signal pour espionner les conversations cryptées

Se traduisent par :

Les experts en cybersécurité tirent la sonnette d'alarme après avoir découvert une campagne de piratage furtif menée par des attaquants parrainés par l'État russe, qui détournent les comptes Signal Messenger pour espionner des conversations privées et cryptées en temps réel.

Dans une enquête récemment publiée, les chercheurs en sécurité de Mandiant, une division de Google, avertissent que plusieurs groupes russes de menaces persistantes avancées (APT) ont développé une méthode puissante pour compromettre la fonctionnalité « appareils liés » de Signal, une capacité clé qui permet aux utilisateurs de synchroniser leur application de messagerie sécurisée sur plusieurs téléphones, tablettes ou ordinateurs.

Mais cette facilité est en train de se transformer en arme dangereuse. En exploitant les appareils connectés, les pirates peuvent accéder de manière invisible aux comptes des victimes et surveiller leurs messages cryptés sans briser le cryptage de bout en bout de Signal. Une fois l'accès obtenu, chaque message est copié directement vers les attaquants, sans que la cible ne le sache.

Table des matières

Comment fonctionne l'attaque : phishing par code QR et détournement d'appareil

La méthode des pirates repose sur la tromperie. Les victimes sont amenées à scanner des codes QR malveillants qui ressemblent à des invitations de groupe Signal légitimes ou à des instructions d'association d'appareils. Une fois scanné, l'appareil des attaquants est secrètement ajouté au compte Signal de la victime en tant qu'« appareil associé ».

À partir de ce moment, tous les messages, qu'ils soient envoyés ou reçus, sont reflétés en temps réel dans le système de l'attaquant. Cela permet de contourner le cryptage robuste de Signal, car les attaquants sont désormais des participants autorisés, ne brisant pas le cryptage mais rejoignant furtivement la conversation.

Le rapport de Mandiant souligne que :

Des groupes APT russes alliés au Kremlin ont été vus utiliser cette méthode dans des attaques de phishing ciblant le personnel militaire, les politiciens, les journalistes et les militants, des individus qui comptent généralement sur Signal pour des communications sécurisées.
Ces pages de phishing imitent souvent l'interface officielle de Signal ou se font passer pour des applications de confiance comme l'outil de guidage d'artillerie de l'armée ukrainienne, Kropyva.
Sur le champ de bataille, les forces russes ont été surprises en train d'utiliser des appareils capturés pour relier les comptes Signal à leurs serveurs à des fins de collecte de renseignements.

Accès invisible : pourquoi cet exploit est si dangereux

L'un des aspects les plus inquiétants de cette attaque est son fonctionnement discret. Les utilisateurs de Signal ne reçoivent généralement aucune alerte notable lorsqu'un nouvel appareil est associé à leur compte. Cela permet aux pirates de maintenir une surveillance à long terme sans se faire détecter.

Mandiant décrit cette technique comme une « forme d’accès initial à faible signature », ce qui signifie qu’elle laisse peu de traces. Sans vérifier activement les paramètres de leurs « appareils liés », les victimes peuvent ignorer pendant des mois, voire plus, que leurs conversations privées sont diffusées à des acteurs hostiles.

Cible plus large : WhatsApp et Telegram sont également menacés

Si Signal est actuellement au centre des préoccupations, Mandiant souligne que ce type d’attaques impliquant des appareils connectés n’est pas propre à Signal. Les pirates russes déploient des tactiques similaires contre d’autres applications de messagerie largement utilisées, notamment WhatsApp et Telegram.

Toutes ces applications permettent la synchronisation de plusieurs appareils, et le processus implique souvent des codes QR pour plus de commodité, ce qui les rend propices aux abus par le biais du phishing.

Espionnage dans le monde réel : cibles militaires et politiques

L'objectif principal des attaquants semble être de recueillir des renseignements auprès d'individus et de groupes de grande valeur, notamment :

Personnel militaire ukrainien
Les politiciens européens
Journalistes d'investigation
Militants des droits de l'homme

Une opération particulièrement sophistiquée a vu le groupe de pirates informatiques russes Sandworm utiliser cette technique sur le champ de bataille. Après avoir capturé les téléphones des soldats ennemis, ils ont relié les appareils à leur infrastructure, ce qui leur a permis d'espionner les communications militaires en temps réel.

Signes indiquant que vous pourriez être compromis

Étant donné que cette méthode d'attaque est conçue pour être silencieuse, l'auto-vérification est essentielle. Voici quelques étapes pour détecter et empêcher tout accès non autorisé :

Vérifiez régulièrement les appareils associés : ouvrez votre application Signal, accédez à Paramètres → Appareils associés et examinez attentivement la liste. Si vous voyez un appareil inconnu, dissociez-le immédiatement.

Activer le verrouillage de l'écran : utilisez un mot de passe long et complexe sur votre téléphone. Cela rend plus difficile pour quelqu'un de lier un appareil s'il obtient un bref accès physique.

Restez à jour : installez toujours la dernière version de Signal et des autres applications de messagerie. Les mises à jour incluent souvent des améliorations de sécurité qui peuvent réduire les surfaces d'attaque.

Attention aux codes QR : méfiez-vous des codes QR inattendus, même s'ils semblent provenir d'une source fiable. Vérifiez les invitations de groupe directement auprès de l'expéditeur avant de les scanner.

Utiliser l'authentification multifacteur (MFA) : bien que Signal lui-même ne prenne pas en charge l'authentification multifacteur pour lier des appareils, l'activation de l'authentification à deux facteurs sur les sauvegardes et les comptes cloud de votre smartphone peut fournir une couche de défense supplémentaire.

Ce que les utilisateurs de Signal doivent faire maintenant

Le rapport de Mandiant nous rappelle avec force qu’aucune application n’est à l’abri d’une exploitation, en particulier lorsqu’elle est confrontée à des acteurs étatiques disposant de vastes ressources. Le chiffrement de bout en bout de Signal reste robuste, mais cette attaque contourne le chiffrement en exploitant le comportement humain et la facilité de synchronisation des appareils de l’application.

Si vous exercez une profession sensible ou vivez dans une région où les menaces de surveillance sont actives, l'audit de vos paramètres de sécurité Signal doit devenir une habitude régulière.

Les experts en sécurité soulignent que la vigilance est essentielle :

Les utilisateurs à haut risque (personnel militaire, journalistes, militants) doivent vérifier les appareils connectés chaque semaine.
Évitez de scanner des codes QR à moins d’être absolument certain de leur source.
Signalez les messages suspects ou les tentatives de phishing à l'équipe informatique de votre organisation ou à votre fournisseur de cybersécurité.

Une nouvelle ère de surveillance silencieuse

L’exploitation de la fonctionnalité « appareils connectés » de Signal marque une évolution inquiétante dans le cyberespionnage soutenu par les États. Contrairement aux logiciels malveillants qui laissent des traces ou perturbent les systèmes, cette méthode fonctionne discrètement, se fondant dans l’arrière-plan tout en canalisant les conversations sensibles vers les agences de renseignement russes.

Le dépôt de bilan de Digital River GmbH, le processeur de paiement d'EnigmaSoft, n'a pas d'impact sur la protection anti-malware des clients de SpyHunter

Rechercher

Changer de région