Les services de renseignement néerlandais ont révélé qu'une campagne de hackers russes cible les comptes Signal et WhatsApp de hauts fonctionnaires, militaires et journalistes dans le monde entier.

Des employés du gouvernement néerlandais ont déjà été compromis, et le chiffrement de bout en bout n'a même pas eu besoin d'être cassé. Eh oui, là on parle de social engineering, tout simplement.

Des codes de vérification, pas du piratage

La méthode est assez simple, et c'est peut-être ça le pire. Les hackers contactent directement leurs cibles en se faisant passer pour le support technique de Signal. Ils demandent de partager le code de vérification à six chiffres ou le code PIN, sous prétexte de « sécuriser » le compte.

Une fois le code récupéré, ils se connectent et accèdent à l'ensemble des conversations. L'autre technique est un peu plus discrète : les attaquants envoient un QR code piégé qui lie un appareil supplémentaire au compte de la victime, via la fonction « appareils liés » de Signal ou WhatsApp. À partir de là, les messages arrivent en temps réel sur un appareil qu'ils contrôlent, sans que la victime ne s'en rende compte. Pratique.

Des comptes gouvernementaux déjà touchés

L'AIVD et le MIVD, les deux agences de renseignement néerlandaises, ont confirmé que des employés du gouvernement et des journalistes avaient été piégés. Simone Smit, directrice générale de l'AIVD, a tenu à préciser que Signal et WhatsApp en tant que plateformes n'étaient pas compromis : ce sont des comptes individuels qui ont été visés. Le chiffrement tient bon, mais ça ne sert à rien quand c'est l'utilisateur qui donne la clé.

Le vice-amiral Peter Reesink, directeur du MIVD, a de son côté rappelé que ces messageries ne devaient tout simplement pas être utilisées pour échanger des informations classifiées ou sensibles. Les hackers auraient déjà accédé à des données sensibles.

Comment savoir si vous êtes touché

Quelques signaux doivent vous alerter : un contact qui apparaît en double dans une conversation de groupe, ou un numéro connu qui affiche soudainement « compte supprimé ». La règle de base reste simple : ne jamais communiquer un code de vérification, même si la demande semble venir du support officiel. Et pensez à faire un tour dans les paramètres de Signal ou WhatsApp pour vérifier la liste des appareils liés à votre compte.

C'est couillon parce que ce type d'attaque n'a rien de sophistiqué, et c'est bien ça le problème. Pas besoin de casser le chiffrement quand il suffit de demander poliment le code à la personne en face.

C'est du social engineering, ça marche depuis des années, et ça continuera de marcher parce qu'on a quand même tendance à faire confiance à un message qui a l'air officiel (et c'est bien normal).

Le fait que des fonctionnaires gouvernementaux soient tombés dans le piège en dit long sur le niveau de sophistication requis : aucun. Mais bon, il serait peut-être bon de former un peu plus les gens qui manipulent des données sensibles à ce genre de risques.

Source : Reuters