Les pirates informatiques du gouvernement russe ciblent les utilisateurs de Signal et de WhatsApp, en particulier les responsables gouvernementaux et militaires, ainsi que les journalistes du monde entier, ont annoncé lundi les services de renseignement néerlandais.
Le Service néerlandais de renseignement et de sécurité de la défense (MIVD) et le Service général de renseignement et de sécurité (AIVD) ont publié des détails sur une campagne de piratage « mondiale à grande échelle » contre les utilisateurs de Signal et de WhatsApp. Les deux agences ont accusé les « acteurs étatiques russes » d’utiliser des techniques de phishing et d’ingénierie sociale – plutôt que des logiciels malveillants – pour s’emparer des comptes des deux applications de messagerie.
Dans le cas de Signal, les pirates se font passer pour l’équipe d’assistance de l’application et envoient directement des messages aux cibles en les avertissant d’une activité suspecte, d’une « fuite possible de données » ou de tentatives d’accès aux données privées de la cible. Si la cible tombe dans le piège, les pirates demandent un code de vérification envoyé par SMS — les pirates eux-mêmes demandent ce code à Signal — ainsi que le code PIN de la cible.
Contactez-nous
Avez-vous plus d’informations sur cette campagne de piratage, ou sur d’autres campagnes ciblant Signal et WhatsApp ? Depuis un appareil non professionnel, vous pouvez contacter Lorenzo Franceschi-Bicchierai en toute sécurité sur Signal au +1 917 257 1382, ou via Telegram et Keybase @lorenzofb, ou par e-mail.
Les pirates utilisent ensuite les codes de vérification et les codes PIN pour enregistrer un nouvel appareil avec un nouveau numéro de téléphone, usurper l’identité de la cible et potentiellement accéder à ses contacts, selon le rapport. De plus, la cible n’a plus accès à son compte, mais peut réenregistrer son numéro.
« Comme Signal stocke l’historique des discussions localement sur le téléphone, une victime peut retrouver l’accès à cet historique après s’être réinscrite. En conséquence, la victime peut supposer que tout va bien. Les services néerlandais tiennent à souligner que cette hypothèse pourrait être incorrecte », indique le rapport.
Signal ne fournit pas d’assistance directement via l’application. Et il est important de noter que, de manière générale, lorsqu’un utilisateur ajoute un nouvel appareil à son compte Signal, le nouvel appareil n’a pas accès aux messages précédents.
Signal n’a pas répondu à une demande de commentaire, mais a publié un fil de discussion sur les réseaux sociaux partageant des conseils pour les utilisateurs sur la façon de se protéger, notamment en déconseillant de jamais partager le code de vérification par SMS et le code PIN.
Les pirates tentent également d’inciter les cibles des deux applications à scanner des codes QR malveillants ou à cliquer sur des liens malveillants. « Par exemple, un acteur peut envoyer un code QR ou un lien à une victime pour l’ajouter à un groupe de discussion, mais ce code QR ou ce lien relie en réalité l’appareil de l’acteur au compte de la victime », explique le rapport.
Dans le cas de WhatsApp, les pirates abusent de la fonction « Appareils liés », qui permet aux utilisateurs d’accéder à WhatsApp à partir d’un appareil secondaire tel qu’un ordinateur portable ou une tablette. Si les pirates parviennent à tromper leurs cibles, contrairement à Signal, ils peuvent potentiellement lire les messages passés. Et parfois, la victime peut ne pas se rendre compte qu’elle a accordé l’accès aux pirates informatiques étant donné qu’elle n’est pas déconnectée de son compte.
Le porte-parole de Meta, Zade Alsawah, a déclaré que WhatsApp suggère aux utilisateurs de ne jamais partager leur code à six chiffres avec qui que ce soit, et a souligné une page du centre d’aide pour aider les utilisateurs à reconnaître les messages suspects, ainsi qu’une page sur la fonctionnalité Appareils liés.
Laurens Bos, porte-parole du ministère de la Défense, a refusé de fournir plus de détails sur la campagne.
L’ambassade de Russie à Washington n’a pas répondu à une demande de commentaire.
Certaines des techniques mises en avant par les services de renseignement néerlandais dans ce rapport sont connues pour être utilisées par des pirates informatiques du gouvernement russe dans le contexte de la guerre contre l’Ukraine.
