Plus tôt cette année, Donncha Ó Cearbhaill, un chercheur en sécurité qui a enquêté sur les attaques de logiciels espions, s’est retrouvé dans une situation inhabituelle. Pour une fois, il est devenu la cible des hackers.
« Cher utilisateur, ici ChatBot du support Signal Security. Nous avons remarqué une activité suspecte sur votre appareil, qui aurait pu entraîner une fuite de données », lit-on dans un message qu’il a reçu sur son compte Signal.
« Nous avons également détecté des tentatives d’accès à vos données privées dans Signal », affirme le message.
« Pour éviter cela, vous devez passer la procédure de vérification en saisissant le code de vérification sur le chatbot du support de sécurité de Signal. NE DITES LE CODE À PERSONNE, PAS MÊME AUX EMPLOYÉS DE SIGNAL. »
De toute évidence, Ó Cearbhaill, qui dirige le laboratoire de sécurité d’Amnesty International, a immédiatement reconnu qu’il s’agissait d’une tentative « imprudente » de pirater son compte Signal. Au lieu de cela, il pensait que ce serait une bonne occasion de se lancer dans une enquête inattendue.
Le chercheur de TechCrunch a déclaré que jusque-là, il n’avait « jamais sciemment » été ciblé par une cyberattaque en un clic ou une tentative de phishing comme celle-ci auparavant.
« Le fait que l’attaque atterrisse dans ma boîte de réception et l’opportunité de renverser la situation sur les attaquants et de mieux comprendre la campagne étaient trop belles pour la laisser passer », a-t-il déclaré.
Il s’est avéré que la tentative d’attaque contre Ó Cearbhaill faisait probablement partie d’une campagne de piratage plus large ciblant un grand groupe d’utilisateurs de Signal. Les stratégies des pirates consistaient à usurper l’identité de Signal, à avertir des fausses menaces de sécurité et à tenter de tromper les cibles pour qu’elles donnent aux pirates l’accès à leur compte en le reliant à un appareil contrôlé par les pirates.
Ces techniques étaient exactement les mêmes que celles observées dans une campagne plus large dans laquelle l’agence américaine de cybersécurité CISA, l’agence britannique de cybersécurité et les services de renseignement néerlandais ont tous mis en garde contre les attaques et imputées aux espions du gouvernement russe. Signal a également mis en garde contre les attaques de phishing ciblant ses utilisateurs. Le magazine d’information allemand Der Spiegel a découvert que les pirates informatiques russes avaient réussi à compromettre plusieurs personnes à l’intérieur du pays, notamment des hommes politiques de premier plan.
Ó Cearbhaill a déclaré dans une série de messages en ligne qu’il était capable de comprendre qu’il était l’une des plus de 13 500 cibles. Il a refusé de révéler exactement comment il avait enquêté sur la tentative de piratage et la campagne menée pour éviter de révéler sa main aux pirates, mais a partagé quelques détails sur ce qu’il avait appris.
Tout d’abord, il s’est rendu compte que d’autres cibles comprenaient des journalistes avec lesquels il avait travaillé, ainsi qu’un collègue. À ce stade, Ó Cearbhaill a déclaré qu’il soupçonnait déjà qu’il s’agissait d’une attaque opportuniste dans laquelle des pirates informatiques compromettaient des cibles et identifiaient de nouvelles victimes potentielles, grâce à ces attaques réussies.
Ó Cearbhaill a qualifié cela d’«hypothèse boule de neige» et a déclaré qu’il était convaincu qu’il était devenu une cible parce qu’il était probablement dans une discussion de groupe avec quelqu’un qui a été piraté, ce qui a donné aux pirates une chance de trouver les coordonnées de nouvelles cibles.
Le chercheur a déclaré qu’il était en mesure d’identifier le système utilisé par les pirates, appelé « ApocalypseZ », qui automatise l’attaque, permettant aux pirates de cibler plusieurs personnes en même temps et en masse avec une surveillance humaine limitée.
Il a également découvert que la base de code et l’interface opérateur sont en russe et que les pirates traduisaient les discussions des victimes en russe, ce qui concorde avec l’hypothèse selon laquelle il s’agissait du même groupe de piratage du gouvernement russe à l’origine de campagnes similaires.
Ó Cearbhaill a déclaré qu’il surveillait toujours la campagne et qu’il avait vu les attaques se poursuivre, ce qui signifie que le nombre total de cibles est certainement beaucoup plus élevé que le nombre qu’il a vu plus tôt cette année.
Il a ajouté qu’il doutait que les pirates s’en prennent à nouveau à lui et qu’il regretterait probablement de l’avoir poursuivi en premier lieu. Il a déclaré : « Je suis heureux de recevoir de futurs messages, surtout s’ils souhaitent partager des informations de type Zero Day », faisant référence à des failles de sécurité qui ne sont pas encore connues du fournisseur et qui sont souvent utilisées dans les attaques sur lesquelles il enquête.
Ó Cearbhaill a déclaré que si les utilisateurs de Signal craignent d’être ciblés par ce type d’attaque, ils devraient activer le verrouillage d’enregistrement, une fonctionnalité qui permet aux utilisateurs de définir un code PIN pour leur compte qui empêche les autres d’enregistrer leur numéro de téléphone sur un autre appareil.
Lorsque vous achetez via des liens dans nos articles, nous pouvons gagner une petite commission. Cela n’affecte pas notre indépendance éditoriale.
