Une invitation arrive sur WhatsApp: «Rejoins mon groupe». On connaît l'expéditeur, ou du moins il n'est pas suspect. Il suffit de cliquer sur le lien ou de scanner le QR code pour se faire avoir.
Ce genre d'attaques a commencé il y a déjà plusieurs mois. Les services secrets néerlandais MIVD et AIVD ont tout de suite mis en garde: «Des acteurs étatiques russes mènent une campagne mondiale de grande envergure afin de prendre le contrôle de comptes WhatsApp et de Signal». Plusieurs employés gouvernementaux en ont déjà fait les frais.
Signal a confirmé les cyberattaques, tout en assurant que l'application et son cryptage n'étaient pas touchés. Les attaques visent les utilisateurs, et non la technologie en elle-même.
Une méthode subtile
Ni WhatsApp ni Signal n'ont été piratés sur le plan technique. Les auteurs de l'attaque ont plutôt exploité certaines fonctionnalités des applications. Deux méthodes principales ont été utilisées. Dans le cas de WhatsApp, l’attaque passe par la fonction des «appareils liés». Les deux messageries permettent en effet d’utiliser un même compte sur plusieurs appareils à la fois, par exemple sur un ordinateur portable en plus du téléphone. Il suffit de scanner un QR code pour connecter l’appareil.
C'est précisément ce mécanisme que les pirates ciblent. Ils envoient à leur proie une invitation à rejoindre un groupe sous forme de lien ou de QR code. En cliquant sur le lien sans vérifier ce qui se passe ensuite, l’utilisateur n'intègre pas un groupe mais offre en fait un accès complet à son compte. Le hacker peut ainsi lire tous les messages incognito et suivre les conversations, tandis que la victime continue d'utiliser son compte sans se douter de l’intrusion.
Pour Signal, c'est une autre méthode qui est utilisée. Les pirates se font passer pour le «chatbot officiel Signal Security Support». Ils alertent la victime sur de prétendus problèmes de sécurité liés à son appareil et lui demandent de transmettre un code de vérification reçu par SMS. En acceptant, l'utilisateur cède en réalité le contrôle total de son compte. Les pirates l'enregistrent alors sur leur propre numéro et peuvent dès lors lire tous les messages reçus.
Les journalistes visés
Selon les services secrets néerlandais, ce piratage a une origine bien précise: les personnes qui représentent un intérêt pour l'Etat russe sont notamment dans leur collimateur. Les représentants des autorités, des militaires, des diplomates et des journalistes seraient notamment ciblés.
Fin janvier déjà, la plateforme allemande netzpolitik.org avait rapporté que des dizaines de professionnels des médias avaient été ciblés, dont des journalistes de «Zeit», «Correctiv» et netzpolitik.org. En réalité, les attaques auraient débuté en novembre 2024.
Ces attaques font parler d’elles, compte tenu de l'énorme portée de WhatsApp et de la réputation de plateforme sûre dont jouit Signal. C’est justement pour cette raison que ces applications de messageries sont davantage ciblées.
Comment vous protéger
Vous ne devez jamais envoyer un code de vérification à quelqu'un d'autre. Les QR codes ne devraient être scannés que si l’on souhaite délibérément associer un nouvel appareil. Il faut ignorer les invitations non sollicitées à rejoindre des groupes, ou contacter l'expéditeur via un autre canal. Il est aussi important de vérifier quels appareils sont associés au compte:
- Dans Signal sous Paramètres > Appareils liés
- Dans Whatsapp, sous Paramètres > Appareils liés
Tous les appareils inconnus doivent être immédiatement supprimés. Sur Signal, il est important d'activer le verrouillage de l'enregistrement. Pour renforcer la sécurité, WhatApp propose une vérification en deux étapes.
La Suisse mise sur Threema
Selon le Service de renseignement de la Confédération (SRC), cette vague de phishing n'a rien de véritablement nouveau. «Cette campagne montre toutefois que les acteurs malveillants ciblent de plus en plus les appareils mobiles et s’adaptent aux applications les plus utilisées», explique Max Klaus, responsable adjoint des médias et de l’information à l'Office fédéral de la cybersécurité (OFCS).
Au sein de l’administration fédérale suisse, l’application de messagerie standard est Threema Work. «Cette application doit impérativement être utilisée pour la communication de contenus sensibles», précise Max Klaus. Il n’existe toutefois pas d’interdiction formelle concernant WhatsApp. La Confédération recommande néanmoins de faire preuve de retenue dans l’utilisation des applications de réseaux sociaux sur les téléphones professionnels et de ne pas y échanger d'informations professionnelles.
L'expert conseille de rester prudent face à toute prise de contact via une appllication de messagerie. «En règle générale, un service de messagerie ne contactera pas les utilisateurs de cette manière; un tel message pourrait donc être le signe d’une attaque.» Signal rappelle d’ailleurs qu'il n'a jamais contacté ses utilisateurs via un message intégré à l'application et ne demande jamais de code de vérification ni de code PIN.
