Phishing on Signal : Quand les attaquants n'ont pas besoin de casser le cryptage

Par /

La fin du mois d'avril 2026 a montré une fois de plus à quel point l'idée d'une „communication sûre“ peut être fragile. Le vendredi 24 avril, le parquet fédéral allemand a annoncé qu'il menait depuis la mi-avril une enquête sur des soupçons d'espionnage, visant des comptes Signal appartenant à des hommes politiques, des diplomates, des militaires et des journalistes. Parmi les cibles citées figurent les ministres fédérales Karin Prien (éducation) et Verena Hubertz (construction), ainsi que Julia Klöckner, présidente du Bundestag. Selon un rapport de Der Spiegel, plus de 300 comptes de haut niveau pourraient avoir été touchés. Le lendemain, des sources gouvernementales allemandes ont déclaré à l'AFP que la campagne était „probablement dirigée depuis la Russie“ - une formulation qui reste prudente, contrairement à l'attribution plus claire des services néerlandais.

Il ne s'agit pas d'un événement isolé. Le 9 mars 2026 déjà, les services de renseignement néerlandais AIVD et MIVD ont publié un avertissement détaillé concernant une campagne „mondiale à grande échelle“ visant les comptes Signal et WhatsApp - des fonctionnaires néerlandais figuraient parmi les victimes. Le 1er avril, Politico a publié un rapport exclusif : la Commission européenne a ordonné aux chefs de service et à leurs adjoints de fermer les groupes de discussion internes sur Signal par crainte d'attaques de piratage.

Trois événements, un modèle. Et un dénominateur commun qui mérite d'être compris : chiffrement personne ne s'est introduit dans Signal. Les attaques sont dirigées ailleurs, vers les utilisateurs.

Pourquoi c'est plus important qu'un „hack“ classique“

Lorsque nous pensons à une attaque contre des communications cryptées, la plupart d'entre nous pensent à une faille mathématique, à un jour zéro dans une application ou à un logiciel malveillant sur un téléphone. Rien de tout cela ne se produit ici. Les attaquants exploitent une fonctionnalité parfaitement légitime de Signal appelée dispositifs connectés (Linked Devices) - celui qui vous permet de Signal installez sur votre ordinateur de bureau et utilisez le même compte depuis votre ordinateur portable et votre téléphone mobile (Signal prend en charge jusqu'à cinq appareils connectés et synchronise les chats et les médias jusqu'à 45 jours après la première connexion).

Le principe de la connexion est simple : la version de bureau de Signal affiche un code QR, vous le scannez avec votre téléphone portable et, à partir de ce moment, les deux appareils reçoivent vos messages. Le chiffrement reste fonctionnel, mais l'appareil de l'attaquant devient le point de terminaison autorisé auquel Signal délivre légitimement de nouveaux messages. Du point de vue du serveur Signal, il s'agit d'une situation normale et voulue.

L'attaque exploite précisément ce mécanisme. L'attaquant prépare un code QR d'un appareil connecté, le déguise en une page frauduleuse („invitation de groupe“, „alerte de sécurité de Signal“, „connexion à l'application de l'entreprise“) et le transmet à la victime par le biais d'un lien dans un courriel, un message ou un réseau social. Lorsque la victime scanne le code QR à l'aide d'un scanner situé dans le Paramètres → Appareils connectés, Il relie son compte à l'instance de Signal contrôlée par l'attaquant. Le téléphone portable de la victime ne présente aucun signe de compromission - il n'y a pas de logiciel malveillant, l'autonomie de la batterie ne diminue pas, le système d'exploitation n'a rien remarqué. Pendant ce temps, l'attaquant lit tous les nouveaux messages en temps réel et, selon les conclusions des enquêteurs allemands, a pu accéder à l'historique des conversations des 45 derniers jours environ par l'intermédiaire d'une fenêtre de synchronisation.

Il existe des variantes plus simples de l'attaque. D'après le site Avertissement AIVD/MIVD i rapport sur le cas allemand Les attaquants se font souvent passer pour un „Signal Support Chatbot“ et demandent à la victime un code de vérification par SMS ou un code PIN Signal. Si l'utilisateur fournit le code, l'attaquant réenregistre simplement le compte sur son appareil - le propriétaire initial est déconnecté de l'application.

Pour être complet : le contexte économique décrit Article d'EUobserver, qui, citant des sources anonymes des services européens de renseignement et de sécurité privée, rapporte que l'accès aux contenus étrangers de Signal se négocie entre 10 000 et 20 000 dollars sur le marché gris, pour un montant de 1,5 milliard d'euros. WhatsApp pour 2 000 à 4 000 dollars et l'historique des déplacements de la victime pour 200 à 400 dollars. Ces chiffres n'ont pas pu être vérifiés de manière indépendante, mais même à titre indicatif, ils montrent qu'il existe une demande structurée pour ce type d'accès.

Anatomie d'une attaque en cinq étapes

  1. Préparation. Un attaquant enregistre un domaine visuellement similaire à Signal (par exemple signal-confirm.site, signal-protect.host) et clone la page Signal Group Invite. Le JavaScript qui devrait normalement rediriger vers l'entrée du groupe est remplacé par un code qui appelle l'URI sgnl://linkdevice?uuid=... - Le signal reconnaît qu'il s'agit d'une demande de connexion d'un nouvel appareil.
  2. Appât. La victime reçoit le lien - par courriel, dans un message Signal/Telegram, par l'intermédiaire d'un contact compromis. L'appât se présente comme une invitation à un groupe, une alerte de sécurité Signal, des instructions pour connecter un nouvel appareil ou une connexion à une application spécialisée.
  3. Scanner QR. La victime ouvre la page, voit le code QR et le scanne directement à l'aide du scanner qui se trouve à l'intérieur. Paramètres → Appareils connectés → Connecter un nouvel appareil. À ce moment-là, Signal affiche fidèlement son message habituel „Connect device ? - Signal Desktop“.
  4. Connexion. L'instance Signal de l'attaquant devient un appareil lié légitime sur le compte de la victime. Le serveur envoie automatiquement des copies des messages.
  5. Mise sur écoute permanente. Chaque nouveau message arrive simultanément à la victime et à l'attaquant. La détection est possible principalement par l'audit des appareils connectés ; les modifications des numéros de sécurité ou les doublons suspects de contacts dans les groupes peuvent être utiles, en particulier dans le cas d'un réenregistrement de compte ou d'un compte nouvellement créé à côté du vôtre.

Cinq minutes qui valent la peine d'être investies dès maintenant

Voici l'essentiel de ce texte. Si vous utilisez Signal, suivez ces étapes - non pas à un moment donné, mais dans les minutes qui suivent.

1. Audit des appareils connectés. Ouvrez Signal, appuyez sur l'icône de votre profil dans le coin de l'écran et continuez à suivre les instructions. Paramètres → Appareils connectés. Vous ne devriez voir que les appareils que vous avez vous-même connectés - généralement Signal Desktop sur votre ordinateur ou votre iPad. Déconnectez tous les autres. Faites de cette vérification une routine mensuelle ; si vous exercez une profession plus sensible (journaliste, avocat, activiste, fonctionnaire), vérifiez plutôt une fois par semaine.

2. le code PIN de signalisation et le verrouillage de l'enregistrement. Paramètres → Compte. Si vous n'avez pas de code PIN, créez-en un - idéalement un code alphanumérique de plus de six caractères. Mais le plus important, c'est que activer le verrouillage de l'enregistrement. Sans cela, un pirate n'a besoin que de capturer un code SMS pour réenregistrer votre numéro dans sa base de données. téléphone. Le verrouillage de l'enregistrement ne peut se faire sans votre code PIN. Attention aux détails : le verrouillage de l'enregistrement est désactivé après sept jours d'inactivité. Ouvrez donc l'application au moins une fois par semaine.

3. les numéros de sécurité des personnes à contacter. Chaque conversation possède un numéro de sécurité unique à 60 chiffres qui permet de vérifier l'identité de l'interlocuteur. Dans les détails du contact, appuyez sur Voir le numéro de sécurité. La vérification idéale est personnelle - vous scannez le code QR de l'autre partie. Si ce n'est pas possible, utilisez un autre canal que vous avez déjà vérifié (téléphone, réunion en face à face). Ne jamais envoyer le numéro via Signal lui-même et laissez toujours l'autre partie envoyer le sien en premier - sinon, s'il est compromis, l'attaquant renverra le vôtre. Les numéros de sécurité ne sont pas un moyen magique de détecter toutes les attaques, mais une pratique cohérente de vérification fait partie de l'hygiène de base.

4. Verrouillage de l'écran et Verrouillage de l'écran de signalisation. Mot de passe alphanumérique fort pour le téléphone (pas de code PIN à quatre chiffres), déverrouillage biométrique du signal lui-même (Paramètres → Vie privée → Verrouillage de l'écran) et de masquer les aperçus de messages dans les notifications. Pour les utilisateurs d'iOS qui appartiennent à des groupes vulnérables, les agences de renseignement recommandent d'envisager également les mesures suivantes Mode verrouillage (Paramètres → Confidentialité et sécurité).

5. Mise à jour. Les versions de Signal publiées après février 2025 disposent d'une protection renforcée contre l'hameçonnage QR, avec un nouveau dialogue de liaison et des avertissements plus forts. Activez les mises à jour automatiques.

Comment repérer un code QR frauduleux

Le code QR lui-même ne peut être distingué visuellement comme étant „bon“ ou „mauvais“ - il s'agit simplement d'une représentation graphique de l'URI. La différence réside dans le contexte dans lequel il vous est présenté. Il est important de savoir à quoi sert le code QR dans Signal : il existe des codes QR légitimes pour rejoindre le groupe (Signal les prend officiellement en charge et les scanner ne fait que vous ajouter au groupe), tandis que les codes QR des l'association de nouveaux équipements sont celles qui peuvent conduire à des écoutes téléphoniques.

Un test simple qui fonctionne à tous les coups : si une page, un courriel ou un contact vous amène à scanner un code QR dans le menu Paramètres → Appareils connectés, Si le code provient directement de votre propre instance de Signal Desktop ou de Signal iPad, que vous avez installée vous-même à partir de signal.org.

D'autres signaux d'alarme :

  • Quelqu'un vous envoie un code QR „à scanner depuis votre téléphone portable“. Un code QR légitime est toujours généré par l'application Signal Desktop au moment où vous la lancez. Jamais dans l'autre sens.
  • Pression pour agir immédiatement : „Le compte sera désactivé“, „L'invitation expire dans 5 minutes“. Signal n'utilise pas ce type de langage.
  • Une fausse „alerte de sécurité de Signal“ via un site web externe. Signal ne vous demande jamais de scanner un code QR pour „vérification“.
  • Un code QR figurant sur une affiche, une photo ou un prospectus qui mène à un lien Signal. Ne jamais scanner.

Que faire en cas de soupçon de compromission ?

Si vous voyez un appareil que vous ne reconnaissez pas dans la liste des appareils connectés, supposez que l'attaquant a lu vos messages depuis que vous vous êtes connecté - et qu'il a probablement vu certaines des conversations des semaines précédentes.

  1. Déconnecter immédiatement l'appareil dans la liste des appareils liés. Effectuez d'abord cette étape - la lecture des nouveaux messages s'arrêtera.
  2. Changement de signal PIN v Paramètres → Compte → Modifier le code PIN.
  3. Assurez-vous que le verrouillage de l'enregistrement est activé.
  4. Alerter vos contacts clés par un autre canal (L'agresseur aurait pu taper et intercepter les réponses en votre nom. Recertifiez les numéros de sécurité auprès de vos contacts.
  5. Modifiez les mots de passe des services dont vous avez partagé les identifiants de connexion, les codes 2FA ou les informations sensibles via Signal. Supposons que l'attaquant ait lu les messages depuis la connexion et la fenêtre de synchronisation précédente.
  6. Vérifier l'état de votre téléphone - Mises à jour du système d'exploitation, applications installées ; en dernier recours, envisagez une réinitialisation d'usine et une restauration à partir d'une sauvegarde propre.
  7. Signaler l'incident au CERT national (CSIRT.CZ, csirt.cz) ou le National Cyber and Information Sécurité (nukib.gov.cz), si vous faites partie d'un groupe vulnérable.

Ce qu'il faut retenir

Plusieurs institutions et services de renseignement européens ont décrit le même problème en l'espace de quelques semaines : chiffrement de bout en bout reste fonctionnelle, mais elle ne suffit pas à elle seule. Un attaquant qui ne peut pas briser la cryptographie cible l'interface homme-application - codes QR, fausse assistance, codes PIN et confiance habituelle.

La conséquence pratique est trivialement simple et notoirement familière : le verrouillage de l'enregistrement est activé, la liste des appareils connectés est vierge, les numéros de sécurité sont vérifiés et l'on se méfie sainement de tout code QR provenant de l'extérieur. Cinq minutes d'installation maintenant vous épargneront une longue liste d'appels téléphoniques par la suite.

Une autre conclusion franche a été tirée, entre autres, par le directeur du renseignement militaire néerlandais, Peter Reesink, dans le cadre de l'avertissement de mars : même Signal avec un cryptage de bout en bout n'est pas un canal approprié pour les informations vraiment classifiées, sensibles ou confidentielles. Il est excellent pour les communications privées ordinaires. Pour les informations les plus sensibles, il y a des raisons pour lesquelles les États exploitent leurs propres canaux séparés et gérés.

Ressources et lectures complémentaires

  • Reuters/AFP, „Germany suspects Russia of Signal hameçonnage attaques visant des hommes politiques“ (25. 4. 2026)
  • AIVD, „Russia targets Signal and WhatsApp accounts in cyber campaign“ (9. 3. 2026)
  • Politico Europe, „Top EU officials’ Signal group chat shut down over hacking fears“ (1. 4. 2026)
  • Google Threat Intelligence Group, „Signals of Trouble : Multiple Russia-Aligned Threat Actors Actively Targeting Signal Messenger“ (février 2025)
  • Signal Support, documentation officielle pour Signal PIN, Registration Lock et Linked Devices
  • EUobserver, „RIP Signal : Russians kill trust in many EU diplomats’ beloved messaging app“ (citant les prix du marché gris et des données provenant de sources anonymes)

Défiler vers le haut