Cybersécurité

La Russie accusée d'attaques de phishing par Signal contre des responsables allemands

26 avril 20265 min de lecture

Par Marcus Weber — CISSP certified, 12 years in cybersecurity journalism

La Russie accusée d'attaques de phishing par Signal contre des responsables allemands

L'Allemagne a officiellement attribué une campagne de phishing sophistiquée à des acteurs parrainés par l'État russe, après que des centaines de cibles de premier plan, dont des ministres fédéraux, des membres du Bundestag et des diplomates, ont vu leurs comptes Signal compromis. Le Parquet fédéral allemand a ouvert une enquête formelle pour espionnage, qualifiant l'incident de l'une des intrusions cybernétiques soutenues par un État les plus significatives visant des personnalités politiques allemandes dans la mémoire récente.

L'attaque n'a pas brisé le chiffrement de Signal. Elle a plutôt exploité quelque chose de bien plus difficile à corriger : la confiance humaine.

Comment l'attaque de phishing par Signal a fonctionné

Les attaquants se sont fait passer pour des membres du support Signal, envoyant de faux messages incitant les cibles à transmettre leurs codes de vérification de compte. Une fois en possession de ces codes, les pirates pouvaient lier les comptes Signal des victimes à des appareils contrôlés par les attaquants, accordant un accès complet aux conversations privées et aux listes de contacts, en temps réel, sans jamais avoir besoin de déchiffrer le chiffrement sous-jacent de l'application.

Cette technique est connue sous le nom de détournement par appareil lié, et elle est particulièrement dangereuse car Signal, par conception, n'exige pas de mot de passe pour lire les messages une fois qu'un compte est lié. Le chiffrement qui rend Signal si fiable parmi les journalistes, les militants et les responsables gouvernementaux est effectivement contourné dès qu'un attaquant contrôle un appareil lié.

La leçon à retenir ici n'est pas que Signal est non sécurisé. C'est qu'aucun outil de sécurité unique, aussi bien conçu soit-il, ne peut protéger un utilisateur qui se laisse tromper et remet ses identifiants.

Pourquoi les applications chiffrées ne suffisent pas à elles seules

Cette attaque illustre une lacune critique dans la façon dont beaucoup de personnes — y compris des professionnels qui devraient mieux savoir — envisagent la sécurité numérique. Les applications de messagerie chiffrée protègent les données en transit. Elles ne protègent pas contre l'ingénierie sociale, les points de terminaison compromis ou la manipulation au niveau des comptes.

Les acteurs malveillants parrainés par des États, en particulier ceux disposant de ressources importantes et d'une grande patience opérationnelle, ont tendance à cibler la couche humaine précisément parce que la couche technique est si difficile à pénétrer. Il est bien plus facile de convaincre quelqu'un de transmettre un code de vérification que de briser un chiffrement moderne.

C'est pourquoi les professionnels de la sécurité préconisent systématiquement des défenses en couches plutôt que de s'appuyer sur un seul outil. Chaque couche de protection supplémentaire oblige un attaquant à surmonter un obstacle de plus, et en pratique, la plupart des attaquants passeront à des cibles plus faciles plutôt que de gaspiller des ressources sur une cible bien protégée.

Ce que cela signifie pour vous

La plupart des personnes qui lisent ceci ne sont pas des ministres fédéraux allemands. Mais les tactiques utilisées dans cette campagne ne sont pas propres aux cibles gouvernementales de grande valeur. Les attaques de phishing se faisant passer pour des applications et services populaires comptent parmi les menaces les plus courantes auxquelles font face les utilisateurs ordinaires, et l'usurpation d'identité de Signal a été documentée dans plusieurs pays au cours des deux dernières années.

Voici ce que le cas allemand met clairement en évidence pour quiconque s'appuie sur la messagerie chiffrée pour des communications sensibles :

Les codes de vérification sont les clés de votre compte. Aucun service légitime, y compris Signal, ne vous demandera jamais de partager un code de vérification via un message de chat ou un e-mail. Si quelqu'un vous demande le vôtre, la demande est frauduleuse, un point c'est tout.

Les appareils liés constituent une véritable surface d'attaque. Examiner périodiquement les appareils liés à votre compte Signal (accessible dans les Paramètres sous Appareils liés) prend environ trente secondes et peut révéler un accès non autorisé avant que des dommages importants ne soient causés.

L'authentification à deux facteurs ajoute une barrière significative. Signal propose une fonctionnalité de Verrouillage d'enregistrement, qui exige un code PIN avant que votre compte puisse être réenregistré sur un nouvel appareil. L'activer est l'une des étapes les plus simples et les plus efficaces que vous puissiez prendre. Plus généralement, utiliser une application d'authentification plutôt que les SMS pour la 2FA sur tous les comptes augmente considérablement le coût d'une prise de contrôle de compte pour un attaquant.

La sécurité de l'appareil est aussi importante que la sécurité de l'application. Si l'appareil exécutant Signal est compromis par un logiciel malveillant ou un accès physique, le chiffrement offre peu de protection. Maintenir les systèmes d'exploitation à jour, utiliser des codes PIN d'appareil robustes ou des données biométriques, et éviter les applications téléchargées en dehors des canaux officiels réduit considérablement ce risque.

La vigilance au niveau du réseau compte. Accéder à des comptes sensibles via des réseaux publics non fiables crée une exposition supplémentaire. Un VPN réputé peut réduire le risque d'interception du trafic lorsque vous n'êtes pas sur un réseau que vous contrôlez, bien qu'il ne constitue qu'une couche parmi d'autres plutôt qu'une solution complète.

Le tableau d'ensemble

L'attaque de phishing par Signal en Allemagne rappelle que le chiffrement le plus puissant du monde ne peut pas compenser l'absence d'une culture de sensibilisation à la sécurité. Lorsque des acteurs étatiques sophistiqués sont prêts à investir dans des campagnes d'ingénierie sociale patientes et ciblées contre des législateurs et des diplomates, les utilisateurs ordinaires qui traitent des informations personnelles ou professionnelles sensibles font face à une version similaire, quoique moins bien financée, de la même menace.

La réponse n'est pas la panique, et ce n'est pas non plus d'abandonner des outils comme Signal, qui reste l'une des options de messagerie les plus sécurisées disponibles. La réponse consiste à développer des habitudes et des défenses en couches qui rendent l'ingénierie sociale plus difficile à réaliser. Examinez vos appareils liés, activez les verrous d'enregistrement, traitez les demandes non sollicitées de codes de vérification comme des signaux d'alarme automatiques, et concevez votre posture de sécurité comme une série de protections qui se chevauchent plutôt qu'une seule application faisant tout le travail.

// FAQ

Comment les attaquants ont-ils compromis des comptes Signal sans briser le chiffrement de l'application ?

Les attaquants ont usurpé l'identité du support Signal et ont trompé les cibles pour qu'elles transmettent leurs codes de vérification de compte, qui ont ensuite été utilisés pour lier les comptes des victimes à des appareils contrôlés par les attaquants. Cette technique, connue sous le nom de détournement par appareil lié, contourne entièrement le chiffrement de Signal en exploitant la confiance humaine plutôt que des vulnérabilités techniques.

Qui étaient les cibles de la campagne de phishing par Signal en Allemagne ?

Les cibles comprenaient des centaines de personnes de premier plan, telles que des ministres fédéraux, des membres du Bundestag et des diplomates. L'Allemagne a officiellement attribué la campagne à des acteurs parrainés par l'État russe.

L'attaque signifie-t-elle que Signal lui-même est non sécurisé ?

Non, l'article indique explicitement que le chiffrement de Signal n'a pas été brisé et que l'application elle-même n'est pas non sécurisée. L'attaque a réussi en trompant les utilisateurs pour qu'ils abandonnent leurs identifiants, et non en exploitant une faille dans la technologie sous-jacente de Signal.

Quelles mesures juridiques l'Allemagne a-t-elle prises en réponse à l'attaque ?

Le Parquet fédéral allemand a ouvert une enquête formelle pour espionnage sur l'incident, le décrivant comme l'une des intrusions cybernétiques soutenues par un État les plus significatives visant des personnalités politiques allemandes dans la mémoire récente.

Les utilisateurs ordinaires sont-ils exposés aux mêmes tactiques utilisées dans cette attaque ?

Oui, l'article note que les attaques de phishing se faisant passer pour des applications et services populaires comptent parmi les menaces les plus courantes auxquelles font face les utilisateurs ordinaires, et l'usurpation d'identité de Signal spécifiquement a été documentée dans plusieurs pays au cours des deux dernières années.

La Russie accusée d'attaques de phishing par Signal contre des responsables allemands

Comment l'attaque de phishing par Signal a fonctionné

Pourquoi les applications chiffrées ne suffisent pas à elles seules

Ce que cela signifie pour vous

Le tableau d'ensemble

// FAQ

// Similaires